Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Как мы стали злостными спамерами? Причины, последствия, выводы…


В минувший понедельник, придя на работу, мы вдруг обнаружили, что наш домен занесли в  несколько блек-листов, как злостных спамеров, почта перестала доходить во многие места 😦

Такая ситуация уже не в первый раз, проблема известна, и к таким последствиям нас одновременно приводит несколько факторов:

— До сих пор у нас отсутствует нормальный спам-фильтр (почему это до сих пор так? – это сложный вопрос, вероятно санкции Евросоюза повлияли , или не совпали фазы луны, в общем проект по выбору и интеграции корпоративного спам-фильтра был «заморожен»), в итоге мы используем  бесплатный спам-фильтр (не буду останавливаться на его характеристиках, уровнях фильтрации и прочем), в общем он достаточно не плохо фильтрует входящую почту, но не фильтрует исходящую (точней он умеет это делать, но когда включаешь эту функцию, все происходит достаточно задумчиво, не буду акцентировать внимание, почему, факт остается фактом).

— Вторая на мой взгляд, немаловажная причина, это политика доменных паролей по сложности и изменяемости, здесь тоже по определенным причинам  (на них я пока не буду заострять внимание, это связано с прикладным оборудованием, которое пока не позволяет заняться безопасностью вплотную), ситуация достаточно прозаична, эта функция в политике GPO, пока отключена.

— Отсутствует модуль в корпоративном антивирусе, устанавливаемый например на почтовик (в нашем текущем случае это Exchange 2010) позволяющий налету сканировать например 25, 110, 143, 443 и прочие порты и в случае подозрительной активности сразу оповещать админов.

— Немаловажным фактором является  загрузка старших, сисадминов, которые отвечают за данный сервис, в текущей ситуации, складывающейся в мировой экономике, штат сотрудников не позволяет постоянно заниматься только серверами, безопасностью, сетью, существует еще масса  дел 🙂

Но все это лирика, в общем, совокупность этих факторов и приводит к тем печальным последствиям, с которыми столкнулись мы на этой неделе, проблема известна не первый день и ее необходимо решать, или по крайней мере необходимо принять ряд мер по предотвращению подобных ситуаций в будущем:

Из предыстории…

В рамках проекта по выбору и интеграции корпоративного спам фильтра, нами рассматривались следующие решения:

Barracuda AntiSpam-есть виртуальный апплаинс, но цена не сильно порадовала, подробно можно почитать здесь:

https://www.barracuda.com/products/spamfirewall

Blue coat Antispam— виртуальный апплаинс нам не подтвердили, цена тоже не сильно порадовала, подробней здесь:  https://www.bluecoat.com/products/proxysg

Ironport anti spam— виртуальный апплаинс присутствует, цена в полтора раза меньше, чем например у Blue coat, подробнее читаем здесь: http://www.ironport.com/index.html

и конечно же не забыли о решении

Spamassassin postfix (мы его частично используем сейчас), но на мой взгляд решение более интересно для малого и среднего бизнеса, нежели для крупного, когда есть отдельные админы у которых есть время на настройку обучение и прочее, в текущей ситуации это не наш случай, нашу компанию достаточно сложно отнести к малому и среднему бизнесу, поэтому данное решение стало вносить своеобразные трудности в настройке….

В итоге,в соотношении цена, был выбран вариант Ironport anti spam (ранее мне доводилось работать с данным решением, еще до того как Cisco купила Ironport , Ironport в то время на все 100% справлялся с поставленной задачей), сейчас на тестирование к нам апплаинс, так и не попал, так как проект был «заморожен». Все эти решения также имеют встроенные модули, которые позволяют налету сканить (анализировать и оповещать) потоки проходящей почты на вирусы  по вышеуказанным портам, соответственно решение сразу же закрывает еще один нерешенный в нашем случае фактор.

Что касается GPO, то тут не все так просто, и быстро решить вопрос со сложностью паролей и их изменяемостью, например каждые 45 дней, решить не получится, к этому мы только стремимся и думаем, как в последствии реализовать политику безопасности соответствующую регламенту.

Про человеческий фактор не имеет смысла рассуждать, я всегда привожу знаменитую фразу Козьмы Пруткова: «Нельзя объять необъятное…» (есть и другая интерпретация: «Нельзя впихнуть не впихуемое…), думаю в ближайшее время ситуация лучше не станет, поэтому довольствуемся тем, что есть.

В общем, проблема существует и ее надо решать:

-Проверяем, что наш почтовик не является Open Relay (порой неправильная настройка почтовика приводит к похожим последствиям…), сделать это можно так:

telnet mail.testserver.test 25
Trying xxx.xxx.x.xxx…
Connected to mail.testserver.test.
Escape character is ‘^]’.
220 mail.testserver.test ESMTP Postfix
helo client.server.com
250 mail.testserver.test
mail from: rockyjr@vsnl.com
250 Ok
rcpt to: vivek@nixcraft.in
554 : Relay access denied

Релей запрещен.
Но описанный метод крайне муторный — так как проверки не заканчивается только данной проверкой, то будет затрачено достаточно много время, поэтому проще воспользоваться парой сайтов для проверки:

http://www.mailradar.com/openrelay/

или

http://www.rbl.jp/svcheck.php

все проверки, говорят нам о том, что наш сервер не является пересыльщиком Спама, но тем не, менее мы в блек листах.

Копаем дальше:

Корпоративный антивирус не выявил ничего подозрительного, система мониторинга сети не показала тоже ничего полезного, что могло бы пригодится в понимании проблемы…

Вот тут наше внимание привлекла исходящая очередь на «чанге», мы увидели странную картину: с ящика hotline (а у нас действительно есть такой ящик в домене для служебных целей) на отправку стоят в очереди сотни писем на разные адреса, а так как антиспам не фильтрует (а просто мониторит) исходящие потоки, то и реакции никакой.

Проверили компьютер с этим ящиком на вирусы, вирусная активность ноль…

Озадачились вопросом (и до сих пор имеем только предположения по этому поводу): Как от авторизованного в домене пользователя, через почтовик отправляется почта? (При том не напрямую, а именно через почтовик, так как 25 порт со всех устройств кроме почтовика наружу закрыт). Закралось одно предположение, что «ломанули» пароль не соответствующий надлежащей сложности… Но тогда должен быть спам-бот, например, который должен рассылать от имени этого пользователя, а такового мы тоже не обнаружили, в итоге эта версия по прежнему остается гипотезой.

Если есть мысли и комментарии по данному вопросу прошу высказать их в комментах или давайте коллегиально обсудим этот вопрос?

Далее запретили отправку наружу с этого ящика и ситуация снова начала перетекать в привычное русло.

Для проверки репутации можно использовать вот этот сайт:

http://www.senderbase.org/

(изначально наш рейтинг спамера был +900% за 4 дня упал до -92%, что уже не плохо), но мы по прежнему остаемся в некоторых блек-листах, где исключить наш домен могут только через 7 дней после устранения рассылки.

Посмотреть это можно например здесь:

http://mxtoolbox.com/

snap1

Надеюсь, пост был полезен, и многие сделают для себя определенные выводы из данного повествования…

В следующем повествовании постараюсь осветить более подробно про очереди Exchange 2010.

Всем хорошей работы !!!

Реклама

07.08.2014 - Posted by | ms exchange 2010

1 комментарий

  1. […] Предыдущий пост на эту тему читаем здесь: https://khlebalin.wordpress.com/2014/08/07/%D0%BA%D0%B0%D0%BA-%D0%BC%D1%8B-%D1%81%D1%82%D0%B0%D0%BB%D… […]

    Уведомление от Статистика по почтовым сообщения Exchange 2010. « Blog of Khlebalin Dmitriy | 12.08.2014


Sorry, the comment form is closed at this time.

%d такие блоггеры, как: