Объявление

Свернуть
Пока нет объявлений.

Анализ conversation log MEG

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

    Анализ conversation log MEG

    Привет, в сети в качестве антиспама используется mcafee email gateway 7.6, политика на входящую почту настроена в соответствии с best practice от макафи. Последнюю неделю участились случаи пропускания спама - приходит по 5-7 писем с pdf внутри. Начал разбираться с проблемой и полез в conversation log. Вот кусок лога прохода спама.
    Sun May 15 2016 22:34:51 EHLO < HELO doteka.ru
    Sun May 15 2016 22:34:51 EHLO > 250 Requested mail action okay, completed.
    Sun May 15 2016 22:34:51 MAIL FROM < MAIL FROM:<ollikvp@doteka.ru>
    Sun May 15 2016 22:34:51 MAIL FROM > 250 Requested mail action okay, completed.
    Sun May 15 2016 22:34:51 RCPT TO < RCPT TO:<user@mydomain.ru>
    Sun May 15 2016 22:34:51 RCPT TO Performing delivery lookup for user@mydomain.ru
    Sun May 15 2016 22:34:51 RCPT TO Delivery lookup for user@mydomain.ru resulted in 172.30.0.19:25
    Sun May 15 2016 22:34:51 RCPT TO > 250 Requested mail action okay, completed.
    Sun May 15 2016 22:34:51 DATA < DATA
    Sun May 15 2016 22:34:51 DATA > 354 Enter mail, end with "." on a line by itself.
    Sun May 15 2016 22:35:01 DATA Received data of size 153845 bytes
    Sun May 15 2016 22:35:02 DATA GTI Hash: gH0ABoAUAAITXUhWWiNbOVZUIzZbTUsjWV09OYAEAAEAAAAGgA IABQACgA0ABAxmN2NiOGZjZDU3ZmGADQAHDGY3Y2I4ZmNkNTdm YYAOAAgNMi4yLjAuMDItMTM0MoADAAkCRUeAFAAKEzcuNl8zMT c0X3Ztd2FyZV9zY3MAAAAAgS0ACYAQBkE3OGY3NGIwOGU1YjMw ZjY2gBAGQDkwYWQ0NDczNjk1ZWE1MmGAAQAPAoAIAAeVW1HwtL ERTYAEAAK8ikqPgAgAE5VbUfC0sRFNgAgACZVbUfC0sRFNgAgA CoimlK5sTrHqgAkAC8nUKdwxW1jzAIAIAAiZTDNCehsYQIAEAA wAAlUdgGQAAwAAAAyRWBNXOsqPcJ+dKDDo/9G7BthVGNNXnXD0cZV7yeKOKDc1+u7kYA1KyLQgzAn5mybNXUg Yv+opdONzLlpFobDETkTPZ72XIWfam7WcKpMRMkQL+29wUpqQJ +jAqcdMcemANwAEADV3V3cxdjE5bFRzSkI1dDVaWEZHb2FSRUc ySmRPWXoAV1dXOThMaUZDRXc3TUl0OGloaEwvAAAAAAA=
    Sun May 15 2016 22:35:02 DATA GTI Message Reputation score: 22. Sender IP: 188.138.74.143. Action: Allow through (Monitor)
    Sun May 15 2016 22:35:02 DATA Received Subject: Увольнение сотрудников за несоответствие профстандартам с 2016г. Последние изменения ТК РФ.
    Из лога видно, что при проверке в RBL спаму присваивается количество баллов = 22, а это очень много для определения его как легитимной переписки. В политике если письмо набирает больше 10 очков, то письмо блокируется. Если более 7 очков, но менее 10, то в заголовок добавляется префикс *Возможно спам*. Как в итоге понять почему письмо прошло, имея такое количество очков по байесу?
    У кролика так долго не было крольчихи что в лесу его даже волки побаивались

    #2
    Хм. Самое лучшее что можно сделать в данной ситуации собрать Minimum escalation Report и отправить в саппорт, они посмотрят логи и точно скажут почему прошел спам.
    Если я все правильно помню, то MEG начинает блокировать спам если GTI score больше 70 баллов. А у вас только 22.
    Еще раз удостоверьтесь что все настроено по этому документу. https://kc.mcafee.com/resources/site...0a00_en-us.pdf
    Рекомендуемые настройки антиспам-фильтра
    В данном конкретном случае мы имеем дело с одним из главных минусов антиспама макафи - его непрозрачностью. Это как черный ящик есть вход и выход, а что происходит внутри нифига не понятно, в том числе механизм начисления spam score и RBL проверка. У меня в практике было что письмам после dnsbl / rbl проверки присваивался spam score = -7 например. С какой стати интересно....

    Комментарий


      #3
      Спасибо, попробую узнать в поддержке. За гайд отдельное спасибо.
      У кролика так долго не было крольчихи что в лесу его даже волки побаивались

      Комментарий


        #4
        Сообщение от NanoSuit Посмотреть сообщение
        Спасибо, попробую узнать в поддержке. За гайд отдельное спасибо.
        совсем забыл, что у вас с версией? рекомендую обновиться до последней - meg-7.6.404

        Комментарий

        Обработка...
        X