Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

TrendMicro AntiSpam. Policy Interscan Messaging Security (часть 4).

В прошлый раз речь шла об общих настройках Interscan Messaging Security. Сегодня коротко расскажу про основной раздел Policy.

Здесь в Approved List  добавляем свое доменное имя.

А сюда те домены, у которых низкая репутация (например, poor, у нас как раз такая и была одно время, когда мы стали злостными рассыльщиками спама сами того не подозревая), но мы все равно хотим получать письма с этих доменов.

 

Сюда также прописываем свое внешнее доменное имя.

Пришло время настроить основные политики. Так называемые «белые» и «черные» списки.

Порядок расположения с верху вниз имеет значение, поэтому расставляем правила в нужном нам порядке. Также можно их копировать и тренироваться на копиях правил.

В самом верху располагаем наш «black list» (для этого создаем отдельное правило).

В Senders добавляем те адреса, которым все же удается преодолеть все заслоны спамфильтра

Далее настраиваем действие.

Далее определяем «white list» (это те адреса с которых, не взирая ни на что, письма должны приходить).

Добавляем Sender-ов и Recipient-ов (кто, кому, куда…)

Соответственно определяем действие

Если обратили внимание, то белый список настроен на правиле номер 3, но второе дефолтное правило, может все равно блокировать письма и отправлять их в карантин по какому-то своему алгоритму(и такие письма есть). Соответственно по логам определяем, что письмо по каким-то причинам было заблокировано вторым правилом, и тогда добавляем по аналогии адресатов в белый список второго правила.

На этом общая настройка модулей спам-фильтра завершена. Само собой это не окончательный вариант, я дополню необходимые разделы постов по ходу более детального погружения в процесс.

Однозначно могу сказать, что спам-фильтр весьма не плох, как по цене, так и по качеству фильтрации спама (может легко потягаться с Cisco Ironport и Baracuda-ми и прочими соотечественниками, а по цене, полагаю, намного интереснее их. Понятно, что важны вопросы масштабируемости, отказоустойчивости, у каждой из систем есть свои интересные плюшки, но тем не менее…).

На сегодняшний день, за 3 недели эксплуатации в продакшине, статистика такова (в среднем количество отбракованного спама в зависимости от дня недели 10-25%) :

Всем хорошей работы!!!

21.08.2018 Posted by | ms exchange 2016 | 1 комментарий

TrendMicro AntiSpam. Общая настройка Interscan Messaging Security (часть 3).

В прошлом посте я рассказал о основных настройках ScanMail for Exchange. Пришло время поведать о настройках пограничного сервера Interscan Messaging Security. Это пограничный сервер, который может быть расположен, как в DMZ зоне, так и в подсети серверов.

Виртуальный эплаинс VmWare благополучно развернут, пришло время пробежаться по основным настройкам.

Раздел Policy-это основной раздел, где настраиваются основные политики отруливания, сегодня его пропущу, более детально расскажу о нем в следующем посте.

Здесь укажем наше внешнее доменное имя.

В этот раздел добавляем домены с низкой репутацией, от которых несмотря на низкую репутацию, мы все равно хотим получать почту. Репутацию можно проверить здесь:

https://talosintelligence.com/

раньше этот сайт назывался senderbase.org, сейчас его переименовали…

Я добавил пока и другие домены с хорошей репутацией, дабы посмотреть какие адреса резолвятся, в последствии удалю их.

Этот раздел говорит сам за себя, сюда можем добавить IP адреса и доменные имена, от которых мы явно не хотим ничего получать.

Например:

Раздел Reports пропущу, настраивать там особо нечего.

С разделом Logs в целом тоже все понятно (при запуске в продакшин эксплуатацию это основной инструмент).

Более детально стоит рассмотреть раздел Administration.

Проверяем существование пользователя в домене, если его нет, то письмо будет отправлено в карантин (ну или как настроим). Штука неплохая, но в этом случае не работают прикрученные к почтовому ящику алиасы других доменов, как это победить, пока не понятно.

Настроим уведомления.

Теперь  непосредственно о конфигурации IMSVA Configuration.

Так будет отвечать наш сервер, если например стукнуться на него Telnet-ом по 25 порту

Здесь мы должны указать на какой IP адрес пересылать почту, в моем текущем случае, это Exchange 192.168.10.22. Также указываем свое внешнее доменное имя.

Здесь также внешние обслуживаемые доменные имена

Далее настроим Connections

Здесь пропишем один из домен контроллеров (он же LDAP сервер).

Укажем Control Manager сервер, если он есть (у нас есть, но пока в тестовом режиме, детально покрутить его пока руки не дошли).

Сервер NTP, у нас он же домен контроллер.

Реиндексация базы.

Раздел TLS  пока весь оставляем по умолчанию.

В целом на этом общая настройка закончена. Далее следует погрузиться в детали, но об этом уже в следующий раз…

Продолжение следует…

Всем хорошей работы!!!

14.08.2018 Posted by | ms exchange 2016 | 1 комментарий

TrendMicro AntiSpam. Настройка ScanMail for Exchange (часть 2).

В прошлом посте рассказал, как установить модуль ScanMail for Exchange. Сегодня коротко о его настройке. Мы пока не сильно глубоко погрузились в детали, нужно будет более детально изучить мануал, пока только о первичной настройке.

Не буду детально вдаваться в каждый пункт, остановлюсь только на паре моментов с которыми возникли некоторые проблемы. Итак модуль ScanMail for Exchange устанавливается непосредственно на почтовые сервера и отвечает в основном за контроль исходящей почты и активность на самих почтовых серверах.

С разделом Email Reputation, поимели некоторые проблемы. В начале включили и этот параметр. Получили интересную картинку: у нас есть как пользователи цепляющиеся по mapi, а есть, те которые цепляются по imap. Так вот те, которые цепляются по imap, благополучно отвалились получив надпись «Ваш сервер не является почтовым релеем». Мы достаточно долго не могли понять почему так. Так как сам клиент, благополучно цепляется, а вот когда пытаешься отправить почту, то ничего не уходит, тут как раз и возникло непонимание, ведь на самом Exchange мы ничего не меняли. Итого два варианта, или снимаем галку в этом разделе, или добавляем в разрешенные все внешние адреса imap, но если таковых много, то это не вариант.

Если необходимо сканить и сами базы, то можно задать расписание. Нам пока это не нужно…

Здесь настраиваем оповещение и сервер SNMP.

Сюда добавляем наши разрешенные домены

Далее если есть Control Manager (его мы только развернули, детально посмотреть пока не удалось), то прописываем его здесь:

Почти за неделю эксплуатации получили следующую статистику:

Из нее видно, что не все так плохо.

При более глубоком погружении  пост буду постепенно добавлять и обновлять.

Следующим шагом предстоит настроить пограничный Interscan Messaging Security. Но об этом в последующих повествованиях.

Всем хорошей работы!!!

09.08.2018 Posted by | ms exchange 2016 | 1 комментарий