Наш сервер Exchange получает от 450 000 до 700 000 спама в день. Мы получаем около 1700 легитимных сообщений за один и тот же период времени.
Примерно 75% спама - это сбор каталогов. В настоящее время у нас установлен GFI MailEssentials. К чести, он выполняет очень хорошую работу, но огромное количество получаемого нами спама и количество подключений, которые устанавливает наш сервер обмена, не позволяют своевременно доставлять легитимную электронную почту.
GFI настроен для проверки сбора каталогов на уровне SMTP, который, как я полагаю, перехватывает почту до того, как она попадет в службы Exchange или пройдет через SMSE. Этот «модуль» расположен в верхней части списка, поэтому (надеюсь) работа со сбором требует минимального количества ресурсов сервера и полосы пропускания.
Мой вопрос: могу ли я что-нибудь сделать, чтобы не допустить, чтобы пул соединений нашего сервера Exchange был съеден этими хостами для рассылки спама? Нам пришлось ограничить количество одновременных подключений, выполняемых Exchange, потому что он потреблял всю нашу пропускную способность.
Заранее спасибо.
если у вас есть возможность настроить дополнительный хост [может быть виртуальная машина] - я предлагаю вам установить postfix [или exim, или любой другой SMTP-реле Linux], который может фильтровать почту на основе адреса получателя.
у меня был случай, похожий на ваш, нагрузка на обмен резко снизилась на:
также - если вы ищете полноценный антиспам с открытым исходным кодом - взгляните на Esva. это готовое к использованию устройство для VMware на основе постфикса и пары фильтров содержимого. на их форумах вы найдете описание, как вытащить белый список пользователей из AD. их форум может выглядеть наполовину мертвым, а автор не самый активный, но все решение действительно сложное и отлично работает для меня в нескольких развертываниях.
Вы также можете передать фильтрацию спама третьей стороне, которая отфильтрует большую часть этого трафика и спама до того, как он попадет в вашу сеть. Три хороших варианта этой услуги:
http://www.microsoft.com/online/exchange-hosted-services/filtering.mspx
Я бы использовал комбинацию фильтрации получателей и SMTP Tar-pitting. Более подробно это объясняется здесь:
http://www.exchangeinbox.com/article.aspx?i=49
Таким образом, Exchange отклоняет подключения к несуществующим адресам. Однако это позволяет сборщикам спама быстро проверять большое количество адресов на вашем сервере.
Включив таргетинг, вы добавляете задержку к ответу вашего сервера, что уменьшает количество соединений, которые комбайн устанавливает с вашим сервером.
Абсолютно вам следует обратиться к сторонним организациям для фильтрации почты до того, как она попадет на ваш сервер, в дополнение к тем, которые упомянуты в ответе smearp. У меня был хороший опыт работы с MX Logic, а также с Postini от Google. Лично я предпочел MX Logic. Дополнительным преимуществом является то, что вы можете настроить свой сервер Exchange Edge на прием SMTP-подключений только от сторонних поставщиков, что резко снизит нагрузку на сервер и пропускную способность.
Я больше не думаю о спаме.
Мне кажется, что вы уже сделали все возможное, чтобы ограничить доставку почты на сервер Exchange - следующим шагом будет попытка найти общий фактор в спаме, который позволил бы вам заблокировать его еще до того, как он попадет в GFI. коробка. (т.е. рассматривать это как DDoS-атаку)
Если трафик поступает только от нескольких хостов, можно ли избегать этих IP-адресов на ваших пограничных маршрутизаторах? Иногда интернет-провайдеры также готовы помочь с такого рода атаками - возможно, стоит связаться с ними, чтобы узнать, смогут ли они идентифицировать и сбросить плохой трафик.
Одно из решений для клейкой ленты может заключаться в том, чтобы сделать вашу основную запись MX недействительной, а дополнительную запись MX - действительной. Большинство спам-ботов не будут тратить время на попытки использовать альтернативные записи MX, в то время как легальная почта все равно будет приходить ... Обратной стороной является небольшой риск потери почты от неправильно настроенных MTA.
MailEssentials работает на уровне приемника событий в SMTP, поэтому он действительно изящно разрывает соединение для несуществующих адресов электронной почты, не позволяя сообщению фактически касаться вашего сервера (если вы поместили это в начало списка, который у вас есть. не так уж много вы можете сделать в своем ящике - это довольно феноменальное количество операций по сбору каталогов, которые вы видите, и я согласен, что вашим следующим шагом будет работа с вашим ISP, чтобы увидеть, можете ли вы сузить несколько IP-адресов или наборов IP-адресов, которые отправляют большую часть этого и блокируют их.
Я могу подумать о нескольких вещах, которые вы могли бы рассмотреть. Первый - это просмотреть ваши журналы, составить список хостов-источников спама (при условии, что есть разумное количество, которое использует грубый форсинг при сборе каталогов) и заблокировать их на вашем брандмауэре.
Более комплексным, но более сложным решением было бы переложить вашу первоначальную обработку спама на сервер шлюза электронной почты. Это то, что мы делали на моей предыдущей работе. Мы создали Linux-систему с Postfix и набором дополнительных инструментов (spamassassin, clamav, демон серых списков, amavisd и т. Д.), А также некоторые нестандартные вещи. Затем мы помещаем его перед кластером Exchange и перенаправляем через него всю нашу электронную почту (входящую и исходящую из сети).
Это может предоставить вам дополнительную гибкость для ограничения скорости соединений, блокировки источников спама и настройки белых и черных списков. Мы могли значительно уменьшить количество спама, получаемого нашими пользователями, а также снизить нагрузку на ящики Exchange.
Обновление: забыл упомянуть, но есть также ряд устройств для защиты от спама, которые также доступны. Вы покупаете коробку, настраиваете ее через веб-интерфейс (обычно) и просто подключаете к своей сети. Несколько настроек Exchange и DNS (чтобы электронная почта проходила через него), и он справится со всей тяжелой работой по борьбе со спамом.
Я разделяю мнение третьей стороны о фильтрации спама. Нам очень нравится: http://www.mxlogic.com/ Он удаляет спам лучше, чем GFI, не использует ресурсы сервера Andy, делает ваши почтовые серверы более безопасными (следуйте совету Leroyclark), и у вас не будет проблем с лицензированием, которые приведут к сбою вашего сервера обмена.
Если у вас есть запасная машина, даже ПК с довольно низкими характеристиками, вы можете подумать об установке MailCleaner, который обеспечит анти-спам и антивирусное сканирование ваших входящих писем. Он основан на Linux, но не требует большого знания Linux, чтобы его настроить и запустить. Результаты фильтрации превосходны, даже без «обучения» баз данных защиты от спама, а веб-интерфейс упрощает повседневные задачи. Также есть форум поддержки, если он вам понадобится.
Я знаю, что теперь это выход из ситуации, когда был опубликован исходный пост, но я должен согласиться с Джоном Гарденерсом относительно Mailcleaner.
Я пользуюсь Mailcleaner примерно 4 года. Первоначальное издание не было таким гибким для модификации, но все равно было довольно прочным. Около года назад я получил Mailcleaner 2010, который полностью переписал Mailcleaner с нуля. В то время как выпуск Mailcleaner 2006 года был построен на движке на основе Debian v4, более новый выпуск 2010 года основан на сервере Ubuntu, если я не ошибаюсь. Старая сборка была склонна к сбоям, но новая сборка настолько прочна и наполнена функциями, что я не чувствовал необходимости вносить какие-либо внутренние изменения.
Как бы то ни было, Mailcleaner 2010 на сегодняшний день является наиболее надежным и чистым решением для защиты от спама, которое я использовал на этой стороне брандмауэра Barracuda Anti-spam / антивирус. В моей работе мы используем устройство Barracuda M600, рассчитанное на обработку примерно 30 миллионов электронных писем в день. В среднем мы получаем около 300 000 электронных писем в день, из которых примерно от 7% до 10% являются подлинными. На Barracuda мы используем карантин (который я ненавижу, но наше руководство настаивает на этом). В моем личном домене, где я использую Mailcleaner 2010, настроенный как виртуальный сервер, размещенный на VMWare ESXi, у меня есть Mailcleaner, настроенный для проверки адреса LDAP в сочетании с тегированием подозреваемого спама. Весь помеченный спам автоматически доставляется в папку «Нежелательная почта» моих пользователей на нашем сервере Exchange (2003), который автоматически удаляет помеченные сообщения через 30 дней. Благодаря этому мой шлюз Mailcleaner Anti-spam занимает очень и очень мало места, а благодаря автоматическому истечению срока действия помеченных сообщений электронной почты мой сервер Exchange Server не переполняется спамом. Уровень ложных срабатываний очень и очень низок, и, поскольку я использую теги, даже если сообщение получает ложное срабатывание, нам не нужно беспокоиться о потере этого письма, если мы ответственно проверяем нашу электронную почту ... все мои постоянные пользователи делают.
В любом случае, когда я использовал систему защиты от спама Barracuda, у меня были очень требовательные ожидания относительно альтернативы для моего собственного домена, поскольку у нас нет бюджета корпоративного / государственного уровня для финансирования покупки оборудования. Учитывая все обстоятельства, было бы в лучшем случае трудно найти лучшее решение, чем Mailcleaner 2010, потому что, похоже, оно сильно зависит от Barracuda, но это не прямая копия прошивки Barracuda. В то же время его гораздо проще настроить, чем Barracuda.
Когда я впервые начал работать на своей нынешней работе, мои работодатели использовали механизм защиты от спама GFI (v10?). У нас были серьезные проблемы с GFI из-за того, как он обрабатывал черные списки. Я провел исследование и поставил нам оценку Barracuda M600. Barracuda была отличным решением, потому что она позволяет заносить в черный список по адресам CIDR, а также использовать массу других методов сканирования, которые работают. очень хорошо. Пока что единственные проблемы, с которыми я столкнулся с Barracuda, связаны с ложными срабатываниями из-за неправильных правил, введенных менее опытными в борьбе со спамом. Виртуальное устройство Mailcleaner 2010, которое я запускаю, требует гораздо меньше взаимодействия для достижения почти идеального решения.
Проверьте это, если у вас будет возможность. Я думаю, вы будете рады, что сделали. :)
Делитесь и наслаждайтесь!
Если вы посмотрите на сторонние службы фильтрации, посмотрите http://www.safentrix.com также. Вы можете опробовать его производительность.
Одна из функций, которые могут быть полезны, - это отсутствие карантина (и, следовательно, почти полное отсутствие обслуживания).
Вы также можете использовать новое решение www.altea.ca для Altea MailProtection, которое представляет собой сторонний антиспам и антивирус нулевого часа.