Показано с 1 по 4 из 4

Тема: Анализ conversation log MEG

  1. #1
    Участник Аватар для NanoSuit
    Регистрация
    11.05.2018
    Город
    Москва
    Сообщений
    154
    Статистика
    Баллы
    261
    Level
    5
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1

    Анализ conversation log MEG

    Привет, в сети в качестве антиспама используется mcafee email gateway 7.6, политика на входящую почту настроена в соответствии с best practice от макафи. Последнюю неделю участились случаи пропускания спама - приходит по 5-7 писем с pdf внутри. Начал разбираться с проблемой и полез в conversation log. Вот кусок лога прохода спама.
    Sun May 15 2016 22:34:51 EHLO < HELO doteka.ru
    Sun May 15 2016 22:34:51 EHLO > 250 Requested mail action okay, completed.
    Sun May 15 2016 22:34:51 MAIL FROM < MAIL FROM:<ollikvp@doteka.ru>
    Sun May 15 2016 22:34:51 MAIL FROM > 250 Requested mail action okay, completed.
    Sun May 15 2016 22:34:51 RCPT TO < RCPT TO:<user@mydomain.ru>
    Sun May 15 2016 22:34:51 RCPT TO Performing delivery lookup for user@mydomain.ru
    Sun May 15 2016 22:34:51 RCPT TO Delivery lookup for user@mydomain.ru resulted in 172.30.0.19:25
    Sun May 15 2016 22:34:51 RCPT TO > 250 Requested mail action okay, completed.
    Sun May 15 2016 22:34:51 DATA < DATA
    Sun May 15 2016 22:34:51 DATA > 354 Enter mail, end with "." on a line by itself.
    Sun May 15 2016 22:35:01 DATA Received data of size 153845 bytes
    Sun May 15 2016 22:35:02 DATA GTI Hash: gH0ABoAUAAITXUhWWiNbOVZUIzZbTUsjWV09OYAEAAEAAAAGgA IABQACgA0ABAxmN2NiOGZjZDU3ZmGADQAHDGY3Y2I4ZmNkNTdm YYAOAAgNMi4yLjAuMDItMTM0MoADAAkCRUeAFAAKEzcuNl8zMT c0X3Ztd2FyZV9zY3MAAAAAgS0ACYAQBkE3OGY3NGIwOGU1YjMw ZjY2gBAGQDkwYWQ0NDczNjk1ZWE1MmGAAQAPAoAIAAeVW1HwtL ERTYAEAAK8ikqPgAgAE5VbUfC0sRFNgAgACZVbUfC0sRFNgAgA CoimlK5sTrHqgAkAC8nUKdwxW1jzAIAIAAiZTDNCehsYQIAEAA wAAlUdgGQAAwAAAAyRWBNXOsqPcJ+dKDDo/9G7BthVGNNXnXD0cZV7yeKOKDc1+u7kYA1KyLQgzAn5mybNXUg Yv+opdONzLlpFobDETkTPZ72XIWfam7WcKpMRMkQL+29wUpqQJ +jAqcdMcemANwAEADV3V3cxdjE5bFRzSkI1dDVaWEZHb2FSRUc ySmRPWXoAV1dXOThMaUZDRXc3TUl0OGloaEwvAAAAAAA=
    Sun May 15 2016 22:35:02 DATA GTI Message Reputation score: 22. Sender IP: 188.138.74.143. Action: Allow through (Monitor)
    Sun May 15 2016 22:35:02 DATA Received Subject: Увольнение сотрудников за несоответствие профстандартам с 2016г. Последние изменения ТК РФ.
    Из лога видно, что при проверке в RBL спаму присваивается количество баллов = 22, а это очень много для определения его как легитимной переписки. В политике если письмо набирает больше 10 очков, то письмо блокируется. Если более 7 очков, но менее 10, то в заголовок добавляется префикс *Возможно спам*. Как в итоге понять почему письмо прошло, имея такое количество очков по байесу?

  2. #2
    Супер модератор Аватар для Surf_rider
    Регистрация
    11.05.2018
    Город
    GreenCity
    Сообщений
    558
    Записей в дневнике
    2
    Статистика
    Баллы
    742
    Level
    9
    Активность
    Проблем
    0
    Проблем решено
    2
    Лучших ответов
    0
    Хороших ответов
    2
    Вес репутации
    1
    Хм. Самое лучшее что можно сделать в данной ситуации собрать Minimum escalation Report и отправить в саппорт, они посмотрят логи и точно скажут почему прошел спам.
    Если я все правильно помню, то MEG начинает блокировать спам если GTI score больше 70 баллов. А у вас только 22.
    Еще раз удостоверьтесь что все настроено по этому документу.
    Рекомендуемые настройки антиспам-фильтра
    В данном конкретном случае мы имеем дело с одним из главных минусов антиспама макафи - его непрозрачностью. Это как черный ящик есть вход и выход, а что происходит внутри нифига не понятно, в том числе механизм начисления spam score и RBL проверка. У меня в практике было что письмам после dnsbl / rbl проверки присваивался spam score = -7 например. С какой стати интересно....

  3. #3
    Участник Аватар для NanoSuit
    Регистрация
    11.05.2018
    Город
    Москва
    Сообщений
    154
    Статистика
    Баллы
    261
    Level
    5
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Спасибо, попробую узнать в поддержке. За гайд отдельное спасибо.

  4. #4
    Супер модератор Аватар для Surf_rider
    Регистрация
    11.05.2018
    Город
    GreenCity
    Сообщений
    558
    Записей в дневнике
    2
    Статистика
    Баллы
    742
    Level
    9
    Активность
    Проблем
    0
    Проблем решено
    2
    Лучших ответов
    0
    Хороших ответов
    2
    Вес репутации
    1
    Цитата Сообщение от NanoSuit Посмотреть сообщение
    Спасибо, попробую узнать в поддержке. За гайд отдельное спасибо.
    совсем забыл, что у вас с версией? рекомендую обновиться до последней - meg-7.6.404

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •