Nosso servidor Exchange está sendo atingido por 450.000 a 700.000 mensagens de spam por dia. Recebemos cerca de 1700 mensagens legítimas no mesmo período de tempo.
Cerca de 75% do spam é a coleta de diretório. Atualmente, temos o GFI MailEssentials instalado. Para seu crédito, está fazendo um ótimo trabalho, mas o grande volume de spam que estamos recebendo e o número de conexões que o nosso servidor Exchange está fazendo está impedindo que e-mails legítimos sejam entregues em tempo hábil.
O GFI está configurado para verificar a coleta de diretório no nível do SMTP, que eu presumo interceptar o email antes que ele atinja os serviços do Exchange ou passe pelo SMSE. Este "módulo" é ordenado no topo da lista, então (esperançosamente) lidar com a colheita está consumindo uma quantidade mínima de recursos de servidor e largura de banda.
A minha pergunta é: há algo que eu possa fazer para impedir que o pool de conexão do nosso servidor Exchange seja consumido por esses hosts de spam? Tivemos que limitar o número de conexões simultâneas feitas pelo Exchange, porque estava consumindo toda a nossa largura de banda.
Obrigado antecipadamente.
Eu usaria uma combinação de Filtragem de Destinatários e SMTP Tar-pitting. Isso é explicado com mais detalhes aqui:
Como resumo, o Exchange rejeita conexões com endereços que não existem. No entanto, isso permite que os coletores de spam verifiquem um grande número de endereços rapidamente em seu servidor.
Ao habilitar o tar-pitting, você adiciona um atraso na resposta do servidor, o que reduz a quantidade de conexões que um harvester faz ao seu servidor.
se você tiver a capacidade de configurar um host adicional [pode ser uma máquina virtual] - sugiro que você obtenha o postfix [ou o exim ou qualquer outro relay linux smtp] que possa filtrar e-mails com base no endereço do destinatário.
eu tive um caso semelhante ao seu, a carga de troca foi drasticamente reduzida por:
também - se você procurar um antispam totalmente desenvolvido [ainda de código aberto] - dê uma olhada em esva . Ele está pronto para usar o appliance para vmware com base no postfix e em alguns filtros de conteúdo. em seus fóruns, você encontrará a descrição de como puxar a lista branca de usuários do AD. seu fórum pode parecer meio morto e autor não é o mais ativo - mas toda a solução é realmente sofisticada e funciona muito bem para mim em algumas implantações.
Absolutamente você deve procurar um terceiro para filtrar o e-mail antes que chegue ao seu servidor, além dos mencionados na resposta do smearp. Tive boas experiências com o MX Logic, assim como com o Postini do Google. Eu preferi o MX Logic pessoalmente. O benefício adicional é que você pode configurar seu servidor Exchange Edge para aceitar apenas conexões SMTP do terceiro, reduzindo drasticamente a carga no servidor e sua largura de banda.
Eu mal penso mais em spam.
Parece-me que você já fez tudo o que pode para limitar o envio de e-mails ao servidor Exchange - o próximo passo seria tentar encontrar um fator comum no spam que permitiria bloqueá-lo antes mesmo de alcança a caixa GFI. (isto é, tratando-o como um ataque DDoS)
Se o tráfego estiver vindo de apenas alguns hosts, seria possível evitar esses IPs em seus roteadores de borda? Às vezes, os ISPs também estão dispostos a ajudar com esse tipo de ataque - pode valer a pena contatá-los para ver se eles podem identificar e eliminar o tráfego ruim.
Uma solução de fita adesiva pode ser tornar inválido o registro MX primário e tornar o registro MX secundário o válido. A maioria dos spambots não perderá tempo tentando registros MX alternativos, enquanto emails legítimos ainda virão ... a desvantagem é que você corre um pequeno risco de perder e-mails de MTAs incorretamente configurados.
O MailEssentials funciona no nível do Event Sink no SMTP, então, de fato, deixa cair a conexão para endereços de e-mail inexistentes, sem permitir que a mensagem realmente toque em seu servidor (contanto que você o tenha colocado no topo da lista, Não há muito mais que você possa fazer na sua caixa - essa é uma quantidade fenomenal de atividade de coleta de diretório que você está vendo, e eu concordo que seu próximo passo seja trabalhar com seu isp para ver se você pode diminuir para alguns IPs ou conjuntos de IPs que estão enviando a maioria disso e bloqueá-los.
Posso pensar em algumas coisas que você pode querer considerar. A primeira é assistir aos seus registros, montar uma lista de hosts de origem de spam (supondo que haja um número razoável que seja forçado brutal com a coleta de diretório) e bloqueá-los no firewall.
Uma solução mais abrangente, porém mais complicada, seria descarregar o tratamento inicial de spam com um servidor de gateway de e-mail. Foi isso que fizemos no meu trabalho anterior. Nós construímos uma caixa Linux rodando o Postfix e uma coleção de ferramentas adicionais (spamassassin, clamav, um daemon de greylisting, amavisd, etc) e algumas coisas customizadas. Em seguida, colocamos isso na frente do cluster do Exchange e encaminhamos todos os nossos e-mails (dentro e fora da rede) por meio dele.
Isso pode fornecer muita flexibilidade adicional para conexões com limite de taxa, bloquear fontes de spam e configurar listas de permissões e listas negras. Conseguimos reduzir significativamente a quantidade de spam que nossos usuários estavam recebendo, além de reduzir a carga nas caixas do Exchange.
Atualização: esqueci de mencionar, mas também há vários appliances de gateway anti-spam disponíveis no mercado. Você compra a caixa, configura-a a partir de uma interface web (geralmente) e apenas conecta-a à sua rede. Alguns ajustes no Exchange e DNS (assim o e-mail está fluindo através dele) e ele irá lidar com todo o levantamento pesado de spam para você.
Terceiro, a opinião sobre a filtragem de Spam por terceiros. Nós realmente gostamos: link Ele remove o Spam melhor do que o GFI, não usa recursos do servidor, torna seus servidores de e-mail mais seguros (siga Sugestão de Leroyclark), e você não terá problemas com problemas de licenciamento em seu servidor Exchange.
Se você tem uma máquina de reposição, mesmo um PC de baixa especificação, você pode considerar a instalação do MailCleaner , que fornecerá ant-spam e Verificação antivírus de seus emails de entrada. É baseado em Linux, mas não requer nenhum grande grau de familiaridade com o Linux, a fim de configurá-lo e executá-lo. Os resultados da filtragem são excelentes, mesmo sem "treinar" os bancos de dados antispam, e a interface da Web facilita muito as tarefas do dia-a-dia. Há também um fórum de suporte caso você precise.
Eu sei que isso agora é uma saída quando a postagem original foi publicada, mas eu tenho que concordar com John Gardeniers em relação ao Mailcleaner.
Eu já usei o Mailcleaner por aproximadamente 4 anos. A edição inicial não era tão flexível para a modificação, mas era bastante sólida de qualquer maneira. Cerca de um ano atrás, recebi o Mailcleaner 2010, que é uma reescrita completa do Mailcleaner do zero. Embora a edição 2006 do Mailcleaner tenha sido construída em um mecanismo baseado no Debian v4, a versão mais recente de 2010 é baseada no Ubuntu Server, se não me engano. A versão mais antiga estava propensa a quebrar, mas a versão mais recente é tão sólida e cheia de recursos que não senti a necessidade de fazer nenhuma modificação sob o capô.
Como é, o Mailcleaner 2010 é de longe a solução anti-spam mais sólida e limpa que usei neste lado do Barracuda Anti-spam / anti-virus Firewall. No meu trabalho, usamos um aparelho Barracuda M600, projetado para lidar com cerca de 30 milhões de emails por dia. Recebemos cerca de 300.000 e-mails em um dia normal, com cerca de 7% a 10% deles sendo e-mails legítimos reais. Na Barracuda, usamos quarentena (que eu detesto, mas nossa administração insiste). No meu domínio pessoal, onde eu uso o Mailcleaner 2010 configurado como um servidor virtual hospedado no VMWare ESXi, eu tenho o Mailcleaner configurado para verificação de endereço LDAP combinado com a marcação de spam suspeito. Todo o spam marcado é enviado automaticamente para a pasta 'Junk Email' dos meus usuários no nosso Exchange Server (2003), que expira automaticamente as mensagens marcadas após 30 dias. Isso cria uma pegada muito baixa para o meu gateway Anti-spam do Mailcleaner e, com a expiração automática do e-mail marcado, ele impede que o Exchange Server transborde com spam. A taxa de falsos positivos é muito, muito baixa e, como uso a marcação, mesmo que uma mensagem receba um falso positivo, não precisamos nos preocupar em perder esse email, desde que o check-in seja feito com responsabilidade ... todos os meus usuários regulares fazem.
De qualquer forma, tendo usado um sistema anti-spam Barracuda, eu tinha expectativas muito exigentes quanto a uma alternativa para o meu próprio domínio, já que não temos um orçamento corporativo / governamental para financiar a compra de equipamentos. Considerando todas as coisas, teria sido difícil, na melhor das hipóteses, encontrar uma solução melhor do que o Mailcleaner 2010, porque parece ter muita influência da Barracuda, mas não é um roubo direto do firmware da Barracuda. Ao mesmo tempo, é muito mais fácil configurar do que o Barracuda.
Quando comecei a trabalhar no meu emprego atual, meus empregadores usavam o mecanismo anti-spam da GFI (v10?). Tivemos sérios problemas com o GFI devido ao modo como lidamos com a lista negra. Fiz a pesquisa e marquei o Barracuda M600. O Barracuda tem sido uma ótima solução, porque permite a lista negra por endereços CIDR, bem como uma tonelada de outras técnicas de digitalização que funcionam bem muito . Até agora, os únicos problemas com os quais eu me deparo com o Barracuda são em relação a falsos positivos devido a regras ruins inseridas por aqueles menos experientes no combate ao spam. O appliance virtual Mailcleaner 2010 que eu executo requer muito, muito menos interação para alcançar uma solução quase perfeita.
Verifique se você tiver uma chance. Eu acho que você ficará feliz por você. :)
Compartilhar & aproveite!
Se você estiver procurando por serviços de filtragem de terceiros, consulte também o link . Você pode experimentar seu desempenho.
Um dos recursos que pode ser útil é a falta de quarentena (e, portanto, quase zero de manutenção).
Você também pode usar a nova solução www.altea.ca para o Altea MailProtection, que é um anti-spam de terceiros e um antivírus de hora zero
Tags exchange spam exchange-2003