анализ спам писем в ironport

dimon

Участник
Здравствуйте коллеги. Нужна помощь с разбором полетов по антиспаму cisco ironport c100v. Проблема вобщем в следующем, периодически где то раз в сутки в очень короткий промежуток времени проходит сразу штук 5 -6 спам
Лог прохождения такого письма ниже:
Код:
Подробности обработки
          ПОЧТОВАЯ ПОЛИТИКА "DEFAULT" СООТВЕТСТВУЕТ СЛЕДУЮЩИМ ПОЛУЧАТЕЛЯМ: myuser@domain
    02 Feb 2017 10:41:27 (GMT +03:00)     Protocol SMTP interface DMZ (IP 192.29.1.13) on incoming connection (ICID 4126206) from sender IP 65.25.226.204. Reverse DNS host mail.excluzivem.eu verified yes.
    02 Feb 2017 10:41:27 (GMT +03:00)     (ICID 4126206) ACCEPT sender group SUSPECTLIST match sbrs[-3.0:-1.0] SBRS -1.1
    02 Feb 2017 10:41:27 (GMT +03:00)     Start message 313709 on incoming connection (ICID 4126206).
    02 Feb 2017 10:41:27 (GMT +03:00)     Message 313709 enqueued on incoming connection (ICID 4126206) from yypirnf@excluzivem.eu.
    02 Feb 2017 10:41:28 (GMT +03:00)     Message 313709 on incoming connection (ICID 4126206) added recipient (myuser@domain).
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 contains message ID header '<8fa801d27d2c$14d7dd90$3163ed88@yypirnf>'.
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 original subject on injection: Зайки-брелоки для настоящих девочек
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 (540310 bytes) from yypirnf@excluzivem.eu ready.
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 matched per-recipient policy DEFAULT for inbound mail policies.
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 size 540310 exceeds max size 524288 for Anti-Spam scanning by Outbreak Filters
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Spam engine: CASE. Interim verdict: Negative
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Spam engine: CASE. Final verdict: Negative
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Virus engine Sophos. Interim verdict: CLEAN
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 scanned by Anti-Virus engine. Final verdict: Negative
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 queued for delivery.
    02 Feb 2017 10:41:47 (GMT +03:00)     SMTP delivery connection (DCID 178327) opened from Cisco IronPort interface 172.30.0.59 to IP address 172.30.0.19 on port 25.
    02 Feb 2017 10:41:47 (GMT +03:00)     (DCID 178327) Delivery started for message 313709 to myuser@domain.
    02 Feb 2017 10:41:47 (GMT +03:00)     (DCID 178327) Delivery details: Message 313709 sent to myuser@domain
    02 Feb 2017 10:41:47 (GMT +03:00)     Message 313709 to myuser@domain received remote SMTP response 'Message accepted for delivery'.
Подскажите что можно сделать и как заблокировать спам??
 

albatros

Случайный прохожий
лог это ни очем. пишите какие политики какие правила какие фильтры настраивали. есть ли проверка юзера в ad и тп.
 

dimon

Участник
лог это ни очем. пишите какие политики какие правила какие фильтры настраивали. есть ли проверка юзера в ad и тп.
У меня используется стандартная политика на входящую почту, единственное что настраивал плюсом это проверку получателя в AD и проверку reverse DNS запросов. Остальное все стандартно.
 

NanoSuit

Участник
такое бывает не только с цисковским антиспамом. Заведите tac в cisco, интересно что техподдержка ответит.
 

Surf_rider

Администратор
Команда форума
Здравствуйте коллеги. Нужна помощь с разбором полетов по антиспаму cisco ironport c100v. Проблема вобщем в следующем, периодически где то раз в сутки в очень короткий промежуток времени проходит сразу штук 5 -6 спам
Лог прохождения такого письма ниже:
Код:
Подробности обработки
ПОЧТОВАЯ ПОЛИТИКА "DEFAULT" СООТВЕТСТВУЕТ СЛЕДУЮЩИМ ПОЛУЧАТЕЛЯМ: myuser@domain
02 Feb 2017 10:41:27 (GMT +03:00) Protocol SMTP interface DMZ (IP 192.29.1.13) on incoming connection (ICID 4126206) from sender IP 65.25.226.204. Reverse DNS host mail.excluzivem.eu verified yes.
02 Feb 2017 10:41:27 (GMT +03:00) (ICID 4126206) ACCEPT sender group SUSPECTLIST match sbrs[-3.0:-1.0] SBRS -1.1
02 Feb 2017 10:41:27 (GMT +03:00) Start message 313709 on incoming connection (ICID 4126206).
02 Feb 2017 10:41:27 (GMT +03:00) Message 313709 enqueued on incoming connection (ICID 4126206) from yypirnf@excluzivem.eu.
02 Feb 2017 10:41:28 (GMT +03:00) Message 313709 on incoming connection (ICID 4126206) added recipient (myuser@domain).
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 contains message ID header '<8fa801d27d2c$14d7dd90$3163ed88@yypirnf>'.
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 original subject on injection: Зайки-брелоки для настоящих девочек
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 (540310 bytes) from yypirnf@excluzivem.eu ready.
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 matched per-recipient policy DEFAULT for inbound mail policies.
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 size 540310 exceeds max size 524288 for Anti-Spam scanning by Outbreak Filters
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 scanned by Anti-Spam engine: CASE. Interim verdict: Negative
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 scanned by Anti-Spam engine: CASE. Final verdict: Negative
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 scanned by Anti-Virus engine Sophos. Interim verdict: CLEAN
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 scanned by Anti-Virus engine. Final verdict: Negative
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 queued for delivery.
02 Feb 2017 10:41:47 (GMT +03:00) SMTP delivery connection (DCID 178327) opened from Cisco IronPort interface 172.30.0.59 to IP address 172.30.0.19 on port 25.
02 Feb 2017 10:41:47 (GMT +03:00) (DCID 178327) Delivery started for message 313709 to myuser@domain.
02 Feb 2017 10:41:47 (GMT +03:00) (DCID 178327) Delivery details: Message 313709 sent to myuser@domain
02 Feb 2017 10:41:47 (GMT +03:00) Message 313709 to myuser@domain received remote SMTP response 'Message accepted for delivery'.
Подскажите что можно сделать и как заблокировать спам??
В этот момент могут обновляться базы или отваливаться по каким либо причинам Сервис учета репутации SenderBase. Попробуйте обновить версию os до рекомендуемой cisco.
 
Верх Низ