Показано с 1 по 5 из 5

Тема: анализ спам писем в ironport

  1. #1
    Любопытный Аватар для dimon
    Регистрация
    11.05.2018
    Сообщений
    58
    Статистика
    Баллы
    103
    Level
    3
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1

    анализ спам писем в ironport

    Здравствуйте коллеги. Нужна помощь с разбором полетов по антиспаму cisco ironport c100v. Проблема вобщем в следующем, периодически где то раз в сутки в очень короткий промежуток времени проходит сразу штук 5 -6 спам
    Лог прохождения такого письма ниже:
    Код:
    Подробности обработки
              ПОЧТОВАЯ ПОЛИТИКА "DEFAULT" СООТВЕТСТВУЕТ СЛЕДУЮЩИМ ПОЛУЧАТЕЛЯМ: myuser@domain
        02 Feb 2017 10:41:27 (GMT +03:00)     Protocol SMTP interface DMZ (IP 192.29.1.13) on incoming connection (ICID 4126206) from sender IP 65.25.226.204. Reverse DNS host mail.excluzivem.eu verified yes.
        02 Feb 2017 10:41:27 (GMT +03:00)     (ICID 4126206) ACCEPT sender group SUSPECTLIST match sbrs[-3.0:-1.0] SBRS -1.1
        02 Feb 2017 10:41:27 (GMT +03:00)     Start message 313709 on incoming connection (ICID 4126206).
        02 Feb 2017 10:41:27 (GMT +03:00)     Message 313709 enqueued on incoming connection (ICID 4126206) from yypirnf@excluzivem.eu.
        02 Feb 2017 10:41:28 (GMT +03:00)     Message 313709 on incoming connection (ICID 4126206) added recipient (myuser@domain).
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 contains message ID header '<8fa801d27d2c$14d7dd90$3163ed88@yypirnf>'.
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 original subject on injection: Зайки-брелоки для настоящих девочек
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 (540310 bytes) from yypirnf@excluzivem.eu ready.
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 matched per-recipient policy DEFAULT for inbound mail policies.
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 size 540310 exceeds max size 524288 for Anti-Spam scanning by Outbreak Filters
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Spam engine: CASE. Interim verdict: Negative
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Spam engine: CASE. Final verdict: Negative
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Virus engine Sophos. Interim verdict: CLEAN
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Virus engine. Final verdict: Negative
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 queued for delivery.
        02 Feb 2017 10:41:47 (GMT +03:00)     SMTP delivery connection (DCID 178327) opened from Cisco IronPort interface 172.30.0.59 to IP address 172.30.0.19 on port 25.
        02 Feb 2017 10:41:47 (GMT +03:00)     (DCID 178327) Delivery started for message 313709 to myuser@domain.
        02 Feb 2017 10:41:47 (GMT +03:00)     (DCID 178327) Delivery details: Message 313709 sent to myuser@domain
        02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 to myuser@domain received remote SMTP response 'Message accepted for delivery'.
    Подскажите что можно сделать и как заблокировать спам??

  2. #2
    Почетный гость Аватар для albatros
    Регистрация
    11.05.2018
    Сообщений
    25
    Статистика
    Баллы
    48
    Level
    2
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    0
    лог это ни очем. пишите какие политики какие правила какие фильтры настраивали. есть ли проверка юзера в ad и тп.

  3. #3
    Любопытный Аватар для dimon
    Регистрация
    11.05.2018
    Сообщений
    58
    Статистика
    Баллы
    103
    Level
    3
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Цитата Сообщение от albatros Посмотреть сообщение
    лог это ни очем. пишите какие политики какие правила какие фильтры настраивали. есть ли проверка юзера в ad и тп.
    У меня используется стандартная политика на входящую почту, единственное что настраивал плюсом это проверку получателя в AD и проверку reverse DNS запросов. Остальное все стандартно.

  4. #4
    Почетный гость Аватар для albatros
    Регистрация
    11.05.2018
    Сообщений
    25
    Статистика
    Баллы
    48
    Level
    2
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    0
    Попробуйте настроить content фильтры

  5. #5
    Участник Аватар для NanoSuit
    Регистрация
    11.05.2018
    Город
    Москва
    Сообщений
    148
    Статистика
    Баллы
    235
    Level
    5
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    такое бывает не только с цисковским антиспамом. Заведите tac в cisco, интересно что техподдержка ответит.

Похожие темы

  1. cisco ironport вопросы
    от sysadmin в разделе Анти-спам фильтры
    Ответов: 2
    Последнее сообщение: 15.05.2018, 08:50
  2. запретить отправку писем с meg
    от alxmel в разделе Компьютерная безопасность
    Ответов: 1
    Последнее сообщение: 14.05.2018, 15:42
  3. распечатать visio a3 на a4
    от BlackJack в разделе Техническая поддержка
    Ответов: 0
    Последнее сообщение: 11.05.2018, 13:56

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •