Рекомендації щодо поводження з каталогом збору спаму на Exchange 2003

Наш сервер Exchange забивається десь від 450 000 до 700 000 спам-повідомлень на день. Ми отримуємо близько 1700 законних повідомлень за той самий часовий період.

Приблизно 75% спаму - це збирання каталогів. Наразі у нас встановлено GFI MailEssentials. На жаль, це робить дуже гарну роботу, але велика кількість спаму, який ми отримуємо, та кількість з'єднань, які здійснює наш обмінний сервер, перешкоджають своєчасній доставці законної пошти.

GFI створений для перевірки збирання каталогів на рівні SMTP, який, я вважаю, перехоплює пошту до того, як вона потрапить до сервісів Exchange, або проходить через SMSE. Цей "модуль" впорядкований у верхній частині списку, тому (сподіваємось), що займається збиранням врожаю вимагає мінімальної кількості ресурсів сервера та пропускної здатності.

Моє запитання: чи можна щось зробити, щоб ці хости спаму не з'їли пул з'єднань нашого сервера Exchange? Нам довелося обмежити кількість одночасних з'єднань, які здійснює Exchange, оскільки воно споживало всю нашу пропускну здатність.

Спасибі заздалегідь.

Я б використовував комбінацію фільтрації одержувачів та SMTP Tar-pitting. Це детальніше пояснено тут:

http://www.exchangeinbox.com/article.aspx?i=49

Як підсумок, Exchange відхиляє з'єднання з адресами, які не існують. Однак це дозволяє спецзбірникам швидко перевіряти велику кількість адрес щодо вашого сервера.

Увімкнувши таргінг, ви додаєте затримку до відповіді, яку надає ваш сервер, що зменшує кількість з'єднань, які робить комбайн на ваш сервер.

якщо у вас є можливість встановити додатковий хост [може бути віртуальна машина] - я пропоную вам отримати постфікс [або exim або будь-яке інше ретранслятор smtp для Linux], який може фільтрувати пошту на основі адреси одержувача.

У мене був випадок, подібний до вашого, навантаження обміну різко скоротилося на:

• встановлення сервера Postfix як рекламованого MX лише для домену компанії
• періодично [раз на годину] відновлювати білий список дозволених адрес електронної пошти на основі простого скрипта php, витягуючи всі поштові адреси з активного каталогу через LDAP

також - якщо ви шукаєте повністю здутий [поки відкритий код] антиспам - погляньте на esva . він готовий використовувати пристрій для vmware на основі постфіксу та декількох фільтрів вмісту. на їхніх форумах ви знайдете опис, як скласти білий список користувачів з AD. їхній форум може виглядати напів мертвим, а автор - не найактивніший - але все це рішення справді складне і чудово працює для мене в кількох розгортаннях.

Ви також можете потенційно вивантажити фільтрацію спаму до третьої сторони, яка б відфільтрувала більшу частину трафіку та спаму, перш ніж він потрапить у вашу мережу. Три хороші варіанти цієї послуги:

http://www.microsoft.com/online/exchange-hosted-services/filtering.mspx

http://www.messagelabs.com/products/email/anti_spam.aspx

http://www.google.com/postini/email.html

Абсолютно вам слід поглянути на третьої сторони, щоб фільтрувати пошту до того, як вона потрапить на ваш сервер, крім тих, що згадуються у відповіді smearp. Я мав хороший досвід роботи з MX Logic, а також Google Postini. Я віддав перевагу MX Logic особисто. Додатковою перевагою є те, що ви можете встановити ваш сервер Exchange Edge таким чином, щоб він приймав тільки з'єднання SMTP від ​​третьої сторони, різко зменшуючи навантаження на сервер та вашу пропускну здатність.

Я ледве не думаю про спам.

Мені здається, ви вже зробили все можливе, щоб обмежити пошту, що надходить до сервера Exchange - наступним кроком буде спробувати знайти загальний фактор спаму, який дозволить вам заблокувати його, перш ніж він навіть досягне GFI ящик. (тобто трактувати це як атаку DDoS)

Якщо трафік надходить лише з декількох хостів, чи було б можливо відхилити ці IP-адреси на ваших прикордонних маршрутизаторах? Іноді провайдери також готові допомогти у подібних нападах - можливо, варто звернутися до них, щоб дізнатися, чи зможуть вони посвідчити чи знизити поганий трафік.

Одним із рішень канальної стрічки може бути зробити ваш основний MX запис недійсним, а вторинний MX записати дійсним. Більшість спам-ботів не витрачають час на пробування альтернативних записів MX, в той час як легітимна пошта все одно пройде через ... нижня сторона полягає в тому, що ви ризикуєте втратити пошту від неправильно налаштованих MTA.

MailEssentials працює на рівні SMTP події в SMTP, тому він справді витончено припиняє з'єднання за неіснуючими адресами електронної пошти, не даючи повідомлення дійсно торкнутися вашого сервера (до тих пір, поки ви просунули цю угору списку, який у вас є. не надто багато іншого, що ви можете зробити у своєму вікні - це досить феноменальна кількість активності збирання каталогів, яку ви бачите, і я погоджуюся, що наступним вашим кроком має бути робота з вашим досвідом, щоб побачити, чи можете ви звузити кілька IP-адрес або наборів IP-адрес, які надсилають більшість із них і заблокують їх.

Я можу придумати кілька речей, які ви могли б розглянути. Перший - переглядати ваші журнали, складати список хостів джерела спаму (припускаючи, що є розумне число, яке жорстоко примушує збирати каталог) та блокувати їх у брандмауері.

Більш комплексним, але складнішим рішенням буде завантаження вашого початкового режиму обробки спаму за допомогою сервера шлюзу електронної пошти. Це те, що ми робили на своїй попередній роботі. Ми побудували скриньку Linux, на якій працює Postfix та набір додаткових інструментів (spamassassin, clamav, демон-грайлінг, amavisd тощо) та деякі спеціальні речі. Потім ми виклали це перед кластером Exchange і переправили всю нашу електронну пошту (в мережі та поза нею) через неї.

Це може забезпечити вам велику додаткову гнучкість для обмеження швидкості з'єднань, блокування джерел спаму та налаштування білих списків та чорних списків. Нам вдалося значно зменшити кількість спаму, який отримували наші користувачі, а також зменшити навантаження на скриньки Exchange.

Оновлення: Забув згадати, але є також ряд анти-спам-шлюзових пристроїв, які також доступні там. Ви купуєте коробку, налаштовуєте її з веб-інтерфейсу (як правило) і просто підключаєте її до своєї мережі. Кілька налаштувань у Exchange та DNS (так що електронна пошта проходить через неї), і він буде обробляти всі ваші підйоми ані-спаму.

Я третя думка третьої сторони фільтрації спаму. Нам дуже подобається: http://www.mxlogic.com/ Це видаляє спам набагато краще, ніж GFI, не використовує ресурси сервера andy, робить ваші сервери електронної пошти більш захищеними (виконайте пропозиції Leroyclark), і у вас не виникне проблем з Проблеми з ліцензуванням завершують роботу сервера обміну.

Якщо у вас є запасна машина, навіть доволі низький специфікаційний ПК, ви можете розглянути можливість встановлення MailCleaner , який забезпечить антишпаж та антивірусне сканування вхідних електронних листів. Він базується на Linux, але для його налаштування та роботи не потрібно великого рівня ознайомлення з Linux. Результати фільтрації відмінні, навіть без "навчання" баз даних проти спаму, а веб-інтерфейс робить щоденні завдання легким. Існує також форум підтримки, якщо вам це потрібно.

Я знаю, що зараз це вихід з моменту, коли почалася публікація оригіналу, але я маю згоду з Джоном Гарденьєром щодо Mailcleaner.

Зараз я використовую Mailcleaner приблизно 4 роки. Початкове видання було не таким гнучким до модифікації, але все одно було досить солідним. Приблизно рік тому я отримав доступ до Mailcleaner 2010, який є повним перезаписом Mailcleaner з нуля. Хоча видання Mailcleaner 2006 року було створене на базі двигуна Debian v4, новіша версія 2010 року базується на сервері Ubuntu, якщо я не помиляюся. Старіша збірка була схильна до злому, але новіша збірка настільки міцна і наповнена функцією, що я не відчував необхідності робити будь-які модифікації під капотом.

Так, Mailcleaner 2010 є на сьогодні найбільш надійним і чистим анти-спам-рішенням, яким я користувався з боку Barracuda Anti-spam / anti-virus Firewall. У своїй роботі ми використовуємо прилад Barracuda M600, призначений для обробки приблизно 30 мільйонів електронних листів на день. У середньому ми отримуємо близько 300 000 електронних листів, приблизно 7% - 10% - фактично законний лист. Щодо Барракуди, ми використовуємо карантин (який я заперечую, але наше керівництво наполягає). У моєму особистому домені, де я використовую Mailcleaner 2010, налаштований як віртуальний сервер, розміщений на VMWare ESXi, у мене Mailcleaner налаштований для перевірки адреси LDAP у поєднанні з тегуванням підозр на спам. Весь позначений спам автоматично доставляється в папку "Небажана електронна пошта" моїх користувачів на нашому сервері Exchange Server (2003), яка автоматично закінчується через 30 днів. Це спричиняє дуже-дуже низький слід для мого шлюзу для захисту від спаму Mailcleaner Anti-Spam, а з автоматичним закінченням мітки електронної пошти це запобігає переповненню спамом мого сервера Exchange. Показник помилкових позитивних дій дуже, дуже низький, і оскільки я використовую теги, навіть якщо повідомлення отримує помилковий позитив, нам не доведеться турбуватися про втрату цієї пошти, доки ми відповідально заїдемо на електронну пошту ... яка всі мої постійні користувачі роблять.

У будь-якому разі, використовуючи систему проти спаму Barracuda, я дуже прискіпливо очікував щодо альтернативи для власного домену, оскільки у нас немає бюджету корпоративного / урядового рівня для фінансування придбання приладів. Зважаючи на все, було б у кращому випадку важко знайти краще рішення, ніж Mailcleaner 2010, оскільки, схоже, це має великий вплив з боку Barracuda, але це не є прямим вилученням мікропрограмного забезпечення Barracuda. У той же час, налаштування набагато простіше, ніж Barracuda.

Коли я вперше почав працювати на своїй нинішній роботі, мої роботодавці використовували двигун проти спаму GFI (v10?). У нас були серйозні проблеми з GFI через те, як він обробляв чорний список. Я зробив дослідження і забив нам Barracuda M600. "Барракуда" була чудовим рішенням, оскільки дозволяє отримати чорний список за адресами CIDR, а також безліч інших методів сканування, які дуже добре працюють. Поки що єдині проблеми, з якими я зіткнувся з Barracuda, стосуються помилкових позитивних результатів через погані правила, введені тими менш досвідченими в боротьбі зі спамом. Віртуальний пристрій Mailcleaner 2010, який я запускаю, потребує значно більшої та меншої кількості взаємодії для досягнення майже ідеального рішення.

Перевірте це, якщо у вас є можливість. Я думаю, ти будеш радий, що ти зробив це. :)

Діліться та насолоджуйтесь!

Якщо ви переглядаєте послуги фільтрації сторонніх виробників, також перегляньте сторінку http://www.safentrix.com . Ви можете спробувати його ефективність.

Однією з особливостей, яка може бути корисною, є відсутність карантину (і, таким чином, майже нульове обслуговування).

Ви також можете скористатися новим рішенням www.altea.ca для Altea MailProtection, яке є стороннім анти-спамом та нульовою антивірусною програмою