Анализ conversation log MEG

NanoSuit

Специалист
Enterprise
Привет, в сети в качестве антиспама используется mcafee email gateway 7.6, политика на входящую почту настроена в соответствии с best practice от макафи. Последнюю неделю участились случаи пропускания спама - приходит по 5-7 писем с pdf внутри. Начал разбираться с проблемой и полез в conversation log. Вот кусок лога прохода спама.
Sun May 15 2016 22:34:51 EHLO < HELO doteka.ru
Sun May 15 2016 22:34:51 EHLO > 250 Requested mail action okay, completed.
Sun May 15 2016 22:34:51 MAIL FROM < MAIL FROM:<ollikvp@doteka.ru>
Sun May 15 2016 22:34:51 MAIL FROM > 250 Requested mail action okay, completed.
Sun May 15 2016 22:34:51 RCPT TO < RCPT TO:<user@mydomain.ru>
Sun May 15 2016 22:34:51 RCPT TO Performing delivery lookup for user@mydomain.ru
Sun May 15 2016 22:34:51 RCPT TO Delivery lookup for user@mydomain.ru resulted in 172.30.0.19:25
Sun May 15 2016 22:34:51 RCPT TO > 250 Requested mail action okay, completed.
Sun May 15 2016 22:34:51 DATA < DATA
Sun May 15 2016 22:34:51 DATA > 354 Enter mail, end with "." on a line by itself.
Sun May 15 2016 22:35:01 DATA Received data of size 153845 bytes
Sun May 15 2016 22:35:02 DATA GTI Hash: gH0ABoAUAAITXUhWWiNbOVZUIzZbTUsjWV09OYAEAAEAAAAGgA IABQACgA0ABAxmN2NiOGZjZDU3ZmGADQAHDGY3Y2I4ZmNkNTdm YYAOAAgNMi4yLjAuMDItMTM0MoADAAkCRUeAFAAKEzcuNl8zMT c0X3Ztd2FyZV9zY3MAAAAAgS0ACYAQBkE3OGY3NGIwOGU1YjMw ZjY2gBAGQDkwYWQ0NDczNjk1ZWE1MmGAAQAPAoAIAAeVW1HwtL ERTYAEAAK8ikqPgAgAE5VbUfC0sRFNgAgACZVbUfC0sRFNgAgA CoimlK5sTrHqgAkAC8nUKdwxW1jzAIAIAAiZTDNCehsYQIAEAA wAAlUdgGQAAwAAAAyRWBNXOsqPcJ+dKDDo/9G7BthVGNNXnXD0cZV7yeKOKDc1+u7kYA1KyLQgzAn5mybNXUg Yv+opdONzLlpFobDETkTPZ72XIWfam7WcKpMRMkQL+29wUpqQJ +jAqcdMcemANwAEADV3V3cxdjE5bFRzSkI1dDVaWEZHb2FSRUc ySmRPWXoAV1dXOThMaUZDRXc3TUl0OGloaEwvAAAAAAA=
Sun May 15 2016 22:35:02 DATA GTI Message Reputation score: 22. Sender IP: 188.138.74.143. Action: Allow through (Monitor)
Sun May 15 2016 22:35:02 DATA Received Subject: Увольнение сотрудников за несоответствие профстандартам с 2016г. Последние изменения ТК РФ.

Из лога видно, что при проверке в RBL спаму присваивается количество баллов = 22, а это очень много для определения его как легитимной переписки. В политике если письмо набирает больше 10 очков, то письмо блокируется. Если более 7 очков, но менее 10, то в заголовок добавляется префикс *Возможно спам*. Как в итоге понять почему письмо прошло, имея такое количество очков по байесу?
 
Хм. Самое лучшее что можно сделать в данной ситуации собрать Minimum escalation Report и отправить в саппорт, они посмотрят логи и точно скажут почему прошел спам.
Если я все правильно помню, то MEG начинает блокировать спам если GTI score больше 70 баллов. А у вас только 22.
Еще раз удостоверьтесь что все настроено по этому документу. https://kc.mcafee.com/resources/sit...4000/PD24115/en_US/meg _700_bp_0a00_en-us.pdf
Рекомендуемые настройки антиспам-фильтра
В данном конкретном случае мы имеем дело с одним из главных минусов антиспама макафи - его непрозрачностью. Это как черный ящик есть вход и выход, а что происходит внутри нифига не понятно, в том числе механизм начисления spam score и RBL проверка. У меня в практике было что письмам после dnsbl / rbl проверки присваивался spam score = -7 например. С какой стати интересно....
 
Спасибо, попробую узнать в поддержке. За гайд отдельное спасибо.
 
Назад
Верх