headermask image

Эффективная борьба со спамом. ORF

Всем, кого замучал спам и кого по каким то причинам не устраивают стандартные средства борьбы встроенные в почтовые сервера – посвящается….

Очень многие используют GFI Mail Essential как спам-фильтр, я тоже его использовал, в принципе устраивало, но в последнее время спам как с цепи сорвался, GFI отлавливал конечно много вредных писем, но и пропускать стал очень много, и тут я решил попробовать ORF EE… Попробовал и понял что это превосходная вещь, которую просто необходимо использовать если вы в принципе собираетесь бороться со спамом, все остальные метода борьбы и антиспам-модули – баловство, а тут простота и невероятная эффективность….в общем полный восторг.

Итак начнем!
Требуется:
- Шлюз (ISA, Kerio) с двумя интерфейсами – 1шт.
- Почтовый сервер (msExchange, MDaemon, KMS) – 1шт.

Итак, начнем:
1. Настройки интерфейсов на шлюзовой машине:
orf1.JPG
1.1 Внешний интерфейс:
orf2.JPG
1.2 Внутренний интерфейс:
orf3.JPG
1.3 Привязки интерфейсов:
orf4.JPG
Локальный интерфейс ставим первым в списке:
orf5.JPG

2. Устанавливаем службу SMTP (майкросовтовская стандартная служба)
панель управления\установка и удаление программ\компоненты Windows, выбираем “сервер приложений” и выбираем службу SMTP:
orf6.JPG

3. Переходим к настройкам службы SMTP. Открываем оснастку “управление компьютером” и лезем в свойства нашего SMTP сервера:
orf8.JPG
3.1 Указываем IP-адрес на котором будет работать служба SMTP – ВНУТРЕННИЙ вашего шлюза (в моём случае это 192.168.0.1:
orf9.JPG
3.2 На закладке “доступ” в параметрах ретрансляции – указываем IP-адреса, которым разрешена трансляция почты черех этот SMTP-сервер, вводим IP-адрес ВАШЕГО почтаря (msExchange, MDaemon, KMS), в моём случае у почтового сервера IP-192.168.0.254:
orf10.JPG
3.3 На закладке “сообщения” устанавливаем требуемые параметры размера сообщений и количества, так же моно указать свой адрес, что бы на него приходили отчёты о недоставке (NDR), это может пригодиться при отладке системы:
orf11.JPG
3.4 На закладке “доставка” устанавливаем параметры доставки, сколько минут между попытками отправки письма должен подождать сервер и тому подобное:
orf12.JPG
3.5 Нажав кнопочку “дополнительно” на закладке “доставка” – указываем имя, которвм должен будетп редставляться наш SMTP-сервер (это имя должно быть зарегистрировано и соответствовать либо А-записи ДНС, либо МХ-записи):
orf13.JPG

4. Настройка домена. Сервер microsoft SMTP установлен и настроен, начинаем настраивать обслуживаемый домен
Правой клавишей жмакаем на “домены”, добавть новый домен и следуем дальше инструкции:
orf14.JPG

Указываем имя нашего почтового домена, то есть ВАШЕГО почтового домена:
orf15.JPG

Настраиваем свойства ВАШЕГО только что устаноленного почтового домена:
orf16.JPG

На закладке “общие” – ставим галку “разрешить передачу входящей почты в данный домен” – это что бы почта принималась из интернета, в поле “маршрутный домен” – указываем имя вашего почтового сервера (внцтреннее DNS-имя машины на которой стоит почтовый сервер сети):
orf17.JPG

5. Переходим к самому главному – АНТИСПАМ

Берём дистрибутив ORF EE, устанавливаем его (в общем то никаких тонкостей при установке – нет, всё по дефолту оставляем, тупо тыкаем “NEXT” в ходе установки и дожидаемся конца операции. После того как антиспамовый модуль установлен – на рабочем столе появятся три иконки, выбираем “консоли администрирования” и запускаем. Фильтр после установки – не работает, он требует предварительной настройки перед своей работой:
orf18.JPG

5.1 Привязываем ORF EE к нашему свежеустановленному и настроенному SMTP-серверу:
orf19.JPG

5.2 Указываем ДНС сервер который будет использовать ORF для своей работы (я указал свой доменный ДНС, но можно использовать и провайдерский, главное что бы ДНС-сервер отвечал требованиями, для этого внизу надо нажать TEST и дождаться результатов):
orf20.JPG

5.3 Указываем в Intermediate gosts – IP-адрес своего почтового сервера (msExchange, MDaemon, KMS):
orf21.JPG

5.4 Активируем необходимые тесты.
Если у вас используется msExchange как почтовый сервер – то нужно включить проверку в AD, при этом проверяется существование в организации почтового адреса, на который шлётся письмо, и в случае если такого адреса нет – письмо отбивается (в противном случае его примет эксчендж и начнет слать NDR возможно на несуществующий адрес и у вас вырастет очередь и будет лишняя нагрузка на эксчендж и сервер в целом). Все остальные тесты можно использовать независимо есть AD или нету…

Каждый тест может работать в трёх режимах – “до приёма”, “после приёма” и “оба” метода… я большинство тестов заставил выполняться до приёма почты, то есть что бы спам отсекался моментально и не генерировался бесполезный трафик:
orf22.JPG

Отдельное внимание хотелось бы уделить функции Auto sender whitelist: в этот белый список попадают те адреса, на которые шлются письма с локальных адресов, то есть если тёта валя из бухгалтерии послала письмо на адрес user@domain.comЭтот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script – предполагается ( да и здравый смысл подсказывает) что этот ящик существует и письма с этого адреса – ожидаемы и следовательно НЕ спам, поэтому почта, принимаемая с адресов находящихся в этом списке – исключается из дольнейших проверок…

Просто для интереса я попробовал послать письмо со своего домашнего адреса (который заведомо находится в списке Auto sender whitelist) на несуществующий адрес в свойей организации Exchange – письмо не было отбито антиспамом. Это объясняется тоже весьма просто – если вы ведёте переписку с конкретным человеком наделённым конкретным почтовым адресом – вам (соответственно из разумного смысла) не придёт в голову слать письмо неизвестно кому из того же домена. Это свойство с одной стороны является конечно не совсем корректным, а с другой стороны оно разгружает службу излишними проверками, что лишний раз убедило меня в мысли о том что фильтр сделан исключительно сбалансированной по эффективности и здравому смыслу системой.
(можете считать это рекламой)

5.5 Настраиваем выбранные тесты. Выбираем базы DNSBL, которые будет использовать фильтр при проверке входящих SMTP-сессий:
orf23.JPG

5.6 Устанавливаем параметры TARPIT-задержки. Я поставил 20 секунд, но по идее хватает и 5, спам отшибается при 5-ти секундной задержке более чем на 90% :
orf24.JPG

5.7 Greylisting.
На мой взгляд – наиболее эффективное средство используемое в ORF EE (кстати в MDaemon тоже есть грейлистинг и вы его зря не включаете).

Для начала очень кратко как работает грейлистинг: вам кто то написал письмо, его почтовый сервер стучится на на ВАШ, при этом система грейлистинга не находит адрес отсылающего сервера у себя в базе и даёт “отлуп” и записывает этот сервер в свою базу, отправляющий сервер помещает письмо в очередь для повторной отправки и через некоторое время (обычно час по умолчанию или 15 минут) сервер пытается вторично отослать письмо. Вот со второй попытки система грейлистинга находит отправляющий сервер у себя в базе и пропускает письмо.

Неудобно? задержки? ну да, мы же со спамом боремся, придётся чем то пожертвовать ради спокойного обмена почтовыми сообщениями…

В общем вся идея грейлистинга состоит в том, что спамеры не повторяют отправку своих писем после неудачной доставки, а номральные сервера – всегда повторяют (вообще на протяжении нескольких дней будут пытаться передать письмо) отправку, и поэтому грейлистинг является на данный момент наиболее эффективным способом отсеивания нежелательной корреспонденции.

настраиваем время “отлупа” – 600 секунд (10 минут), так сделал я , вы можете устанавливать временной интервал который нужен ВАМ, тут в общем то по желанию, главное что б разумному смыслу не противоречило
указываем время жизни записи – 24 часа (по умолчанию), это сколько будет храниться в базе запись сервера, отправленного “грейлистингом” погулять 10 минут….
так же можно задать исключения – адреса получателей, отправителей и IP-адреса, которые не будут обрабатываться грейлистингом, но это вы сделаете при необходимосте позже сами:
orf25.JPG

5.8 Указываем что будет отвечать ваш фильтрующий SMTP-рилей, когда отправит чей то почтовый сервер погулять по “грейлистингу”:
orf26.JPG

5.9 Сохраняем и обновляем конфигурацию:
orf27.JPG

5.10 Запускаем ORF-сервис:
orf28.JPG

5.11 Наблюдаем за статистикой.
Cumulative – статистика с момента первого запуска ORF-фильтра
Since Startup – статистика с момента последнего запуска фильтра:
orf29.JPG

6. осталась самая малость – настроить ВАШ почтовый сервер таким образом, что бы он слал почту не напрямую на сервера получателей (используя DNS) а направлял почту на рилей (в качестве рилея как вы уже догадались – указываете свой только что установленный и защищенный фильтром IIS SMTP). Зачем сделать так а не отправлять почту напрямую? Объясню: у ORF-фильра есть замечательный модуль Auto Sender WhiteList – то есть в “белый” свписок помещаются те адреса, на которые ваши любимые пользователи шлют письма, после письма принимаемые с этих адресов – исключаются из проверки фильтром, то есть приходят без какиз-либо задержек.

Поэтому настоятельно рекомендую настроить свой почтовый сервер на работу через рилей (ORF EE) и сделать массовую рассылку пользователям, пусть она САМИ напишут ВСЕМ своим корреспондентам письма, что бы эти адреса занеслись в базу Auto Sender WhiteList

ну вроде всё, успехов в борье со спамом!

PS
Эффективность данной системы фильтрации почты 98-100%, вы убедитесь в этом сами, когда увидите реал-тайм статистику в консоли управления фильтром + вы буквально сразу же заметите тот факт что больше СПАМ не валится в ваш почтовый ящик и почтовые ящики пользователей, посмотрите логи – вы придёте в ужас увидев сколько всякой заразы отшибается фильтром ещё только на подходе – по DNSBL, по проверке получателя в AD, по грейлистингу

Источник: kerio-rus.ru

vtoroy

8 комментов оставлено (Add 1 more)

  1. MDaemon’ом.

    1. Leo Firson on August 22nd, 2011 at 10:14 pm
  2. Leo Firson, а чем пользуетесь, отвечающим описанному Вами?

    2. Jackson on August 19th, 2011 at 1:41 pm
  3. ORF говно.

    Основных претензии две, но они очень весомы:
    1. ORF не имеет встроенного обучаемого анализатора контента, навроде байесовых фильтров. Хотя гуру к нему прикручивают спамассассина, но почему блин этого нет в стандартной поставке? Даже в большинстве почтоклиентов современных есть обучаемый анализатор контента.
    2. Для ORF любое письмо чёрно-белое: либо это спам (и оно отбривается сразу, либо валится в карантин либо юзеру с пометкой [spam] в зависимости от настроек) либо это не спам. А на дворе третье тысячелетие, когда даже в захудалых почтовиках навроде керио есть возможность считать спам очковым способом.

    Мало ли было в историй эпических фэйлов служб днс-бл? У них, допустим, сбой, они вдруг начали совать легитимные айпишники в свою базу. Что делает ОРФ? Он тупо отфутболивает все письма, про которые служба днс-бл ему сообщила, что они будто бы высылаются с блокированных айпишников.

    Далее, допустим есть легитимный клиент, почтосервер которого словил трояна и всю ночь рассылал спам, мгновенно попал во все базы днс-бл. Утром админ пришёл, троянца почистил, пишет челобитные всем днс-бльщикам. А тем временем всю почту с его домена наш ОРФ отфутболивает.

    Вообще, идея отфутболивать почту по одному единственному критерию — ущербна. Спам следует считать очками. Несоответствие любому из критериев должно добавлять очки тестируемому письму, причём столько очков за каждый тест, сколько считает нужным постмастер сервака.

    И постмастер же должен определять, по достижении какого порога очков спама письму следует проставить [spam] и отправить в ящик юзера, по достижении какого порога письмо следует направить в ящик карантина, по достижении какого порога письмо следует уничтожить и по досижении какого порога письмо можно автоматически передать байесову самообучающемуся анализатору, которого, как я уже говорил, в ОРФ нет.

    3. Leo Firson on August 15th, 2011 at 12:52 pm
  4. Все настроил как написано, только вот проблема с почта не уходит с клиентов находящихся вне домена. В аутенфикации поставил логин по логину и паролю, только письма застревают на шлюзе. В ORF пишет, что пропустил, а почта пропадает не доходя до почтового сервера внутри сети. Сервер стоит Windows server 2003 SP2 плюс фаерволл с публикацие SMTP сервера ISA 2004.

    4. olmer on November 21st, 2008 at 5:04 pm
  5. Если настраивать ORF по этому мануалу, то куда паблишить 25 порт? На шлюз или на KMS? Если на Керио, то в ORF Log Viewer пусто.. почта вся идет через керио, Если на шлюз, то при проверке работоспособности приходят отбойники:
    Delivery to the following recipient failed permanently:

    support@domain.ru

    Technical details of permanent failure:
    Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.1.1 Bad destination mailbox address (support@domain.ru). (state 14).

    Объясните где я что не так сделал plz.

    5. flipp3r on October 2nd, 2008 at 10:57 pm
  6. 2 kkv:
    вторую базу сделай зеркалом первой

    6. naliman on June 10th, 2008 at 11:16 pm
  7. Я взял статью, но и сам использую орф, но в силу разных обстоятельств не использую greylist, поэтому подсказать что то не смогу..

    7. molse on March 28th, 2008 at 4:05 pm
  8. здраствуйте, как я понял вы взяли только статью?. или же сами используете ORF ?
    т.к. у меня вопрос про Greylist в ORF
    точнее про GL и внешняя DB MsSql2005
    я не могу заставить подключиться к одной базе 2 разных ORF, чтобы они использовали один список

    8. kkv on March 28th, 2008 at 10:43 am