netmail и спам:)

[Aleksey(ishua)]

есть сервак NW6.0 на нем нетмаил, (сервак смотрит на ружу (в инет))
есно наружу смортри 25 порт.
замучал спам.. но причем кой то бредовый... замучал, легко сказано поскоу, эт где то 400 мегов в день... (ну с общим трафиком компании (раньше) 3 гига в месяц... а терь есно больше:) это несколько напрягает
терь к делу как это выглядит.

1 85.158.137.147 22.53 mail149.messagelabs.com
2 85.158.136.115 22.38 mail150.messagelabs.com
3 85.158.137.35 22.36 mail134.messagelabs.com
и т.д строчек 13 в день... .некоторые цыфры меняются.

логи прова, в мегах
собствено вроде проблемма то не большая
кинуть в antispam agent
*.messagelabs.com
и сего делов...
ну и еще внесения айпишников в блек лист, не помогло....

то что меня убило...
в логах filtcfg по правилу на 25 порту...

11/15/2006,11:01:51 +0300,85.158.137.35,82.204.133.238,TCP,25,46439,ACK,1,2,2,-,-,INBOUND
11/15/2006,11:01:51 +0300,85.158.137.35,82.204.133.238,TCP,25,46439,PSH ACK,1,2,2,-,-,INBOUND
11/15/2006,11:01:51 +0300,82.204.133.238,85.158.137.35,TCP,46439,25,ACK,1,2,2,-,-,OUTBOUND

такое добро есть его много...
а в логах netmail даже упоминания об этом ip нет... а веть блокировка по по black лист логируется...
кто нить подскажет куда капать? (если по мимо звонка прову...)

[Ravil]

родной антиспам там никакой, логирование тоже не очень

поставь какой нибудь антиспам на Нетмейл, трафик конечно сильно не уменьшит (все равно письма глотать придется чтобы определять спам это или нет), зато пользователей нервировать не будет.

[Евгений Каушанский]

в smtp агенте включил пункт
Do Not Allow Access from Hosts in Blocked List
и
Check against RBL List ,добавил адрес
sbl.spamhaus.org
можно сюда добавить и дополнительные адреса

плюс добавляю IP адреса в Blocked Hosts

можно еще включить Deny Access to Hosts Not in DNS
но я не влючал у себя.

Вдобавок ко всему использую GEE Whiz через него у меня
SAVce 9 антивирусную проверку выполняет.

еще релей отключить нужно обязательно

SMTP Agent: UBE Relaying

SMTP-after-POP
Only Allow Remote Sending for Authenticated Users
Require Sender to Be in Allowed List for Remote Sending

[Aleksey(ishua)]

to Евгений Каушанский
все как у меня, один в один, тока у мня блок листов больше:(

Ravil
эт уже единственный выход который я вижу...

[Ravil]

тоже после мучений пришел к этому
GeeWhiz юзаю доволен
Check against RBL List пробовал использовать (адрес не помню к сожалению какой указывал) , у меня стал валить письма с халявных адресов типа mail.ru. Пршлось отказатся.
Евгений у тебя при такой конфигурации принимает с "российских халявных" адресов ?

[Евгений Каушанский]

да принимает и рамблер и маил.ру, а какой у вас Gee у меня 1.4.7

[Ravil]

у меня Gee 2.1, сним тоже принимает с mail и rambler.
я имелл ввиду с включенным Check against RBL List (адрес не помню к сожалению какой указывал) год назад тестил.

завтра попробую с утра указать как у тебя sbl.spamhaus.org
посмотрю что получится

[Евгений Каушанский]

sbl.spamhaus.org я указал только в нетмайл, а вGEE
relays.ordb.org 0.5
list.dsbl.org 2.574
dnsbl.njabl.org 0.853
opm.blitzed.org 2.336
de.sorbs.net 3.5
cbl.abuseat.org 3.5

я тоже хочу 2.1

[Евгений Каушанский]

вот самое свеженькое о спаме

http://www.spamhaus.org/sbl/howtouse.html

ребята рекомендуют поставить в почтовике sbl-xbl.spamhaus.org вместо

sbl.spamhaus.org

[Ravil]

Вдогонку к написанному выше
Связка SMTP-after-POP+ Connection Manager не есть гуд.
ИМХО вырубить надо обоих.

[Доменика]

С этого момента поподробней. Что даёт отключение SMTP-after-POP и(или) Connection Manager. Не много отличается Ваше мнение от предлагаемого в документации. Connection Manager, как утверждалось компанией Novell, был введён после релиза 2.6х чтоб уменьшить возможность использовать NetMail для несанкционированной рассыылки.

Если имеется позитивный опыт поделитесь. Замучили спамеры и другие ламеры.

P.S. Кто-нибудь имеется опыт использование(внедрения) борьбы со спамом http://www.novell.com/coolsolutions/tools/14353.html для NetMail.
Благо что данный продукт денег не просит. Вроде и есть решение, а вот примером использования не слышно и не видно.

[Ravil]

Согласен на счет документации
но.. в двух словах
Connection Manager работает с POP, IMAP и SMTP если у последнего включена SMTP-after -POP
Если пользватель патается отправить мыло и стоит SMTP-after -POP происходит POP запрос если логини пароль верен Connection Manager запоминает IP !!!! станции или пользователя и этот IP становится валидным на время по умолчанию 15 мин.
ЗА это время с этой станции можно слать что угодно и куда угодно, больше авторизация не нужна.
пробовал создавать левые ящики все уходит на ура!!!
У меня у людей стоит почтов. клиент BAT , они настраивают проверять почту каждые 5-10 мин кто как хочет т.е POP запросы, вот и прикинте весь раб день эта станция "Валидна".
А если на ней троян ??????????

кто спец в NetMaile опровергните вышенаписанное, самому хочется ясности.
Может я чего пропустил, и недонастроил тогда считайте что это бред не берите к сведению и сильно не пинайте . Но SMTP-after-POP я у себя убрал.

[Евгений Каушанский]

Connection Manager работает с POP, IMAP и SMTP если у последнего включена SMTP-after -POP
Если пользватель патается отправить мыло и стоит SMTP-after -POP происходит POP запрос если логини пароль верен Connection Manager запоминает IP !!!! станции или пользователя и этот IP становится валидным на время по умолчанию 15 мин.

но тогда встречный вопрос

1. А если у меня пользователи во внутренией сети т.е. 192.168.0.1 как
этим айпи можно воспользоваться из вне?

2. Как тогда бороться с открытым релеем? если отключить SMTP-after-POP

[Ravil]

1) внутренним IP из вне не должны пользоватся !! Евгений подробней пожалуйста
2) Что значит открытый релей ?

Ставьте галочку
Only allow remote sending for authenticated senders (у Вас по моему стоит)

При этой фишке без авторизации нельзя отправить наружу, и из вне тоже на любые домены требует аутентификацию все ОК (при убранном after-POP см. предидущще сообщ.)
НО блин если в качестве адресата указан тот кто сидит в mydomen.ru то оправляет
и SMT-after-POP тут тоже не помошник

NetMail вроде не сложная система(по сравнению с другими), но непоняток c движением почты и безопасностью полно судя по сообщениям на форуме не только у меня
Я давным давно пробовал консультироватся в нашем представительстве Novella но увы.....


сейчас смотрю в сторону GroupWise или аналогичного продукта конкурентов.

[Евгений Каушанский]

Релей это возможность пересылки почты с SMTP порта на любой адрес в инете. Спамеры пользуются открытыми почтовиками (с открытым релеем), и эти почтовики со временем попадают в список спам серверов.

так вот как раз SMTP-after-POP и не дает отправить почту внешним клиентам без пароля.

А по вашему получается так, если они укажут обратный адрес например admin@domen.ru и адрес SMTP сервера domen.ru то смогут БЕЗ пароля отправить почту на любой адрес в инете. Или я что то не понимаю?