IPBlockListProvider do Exchange 2013 bloqueando alguns (mas não todos) os IPs correspondentes

Navegue suas respostas
2

Configurei nosso servidor de Transporte de Borda do Exchange 2013 para utilizar vários IPBlockListProviders, incluindo o Spamhaus. Embora funcionem muito bem na maior parte do tempo, ainda existem alguns e-mails que, apesar de serem correspondidos por um dos provedores de listas de bloqueio, são transmitidos.

Por exemplo, um e-mail que foi recebido recentemente do IP 66.248.197.240, que certamente está no Spamhaus SBL, bem como em alguns outros ( link ) e corretamente identificados pelo servidor Edge como tal: 

[PS] C:\Users\Administrator>Test-IPBlockListProvider -Identity "Spamhaus" -IPAddress 66.248.197.240

Provider                                ProviderResult                                                          Matched
--------                                --------------                                                          -------
Spamhaus                                {127.0.0.3}                                                                True

Verifiquei que não estou usando encaminhadores DNS públicos (como os do Google), por isso não é um problema de todos ou nada está bloqueado.

O mais confuso é que essa configuração funciona para a maioria das mensagens recebidas que estão em um SBL: 

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>.\get-AntispamTopRBLProviders.ps1

Name                                                                                                              Value
----                                                                                                              -----
Spamhaus                                                                                                           4594
SpamCop                                                                                                              48

Curiosamente, uma coisa que parece ter feito uma diferença significativa é modificar a prioridade dos agentes de transporte de forma que o Agente de Filtragem de Conexão seja o primeiro. Esta é a minha configuração atual, caso seja pertinente: 

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-TransportAgent

Identity                                           Enabled         Priority
--------                                           -------         --------
Connection Filtering Agent                         True            1
Sender Id Agent                                    True            2
Sender Filter Agent                                True            3
Recipient Filter Agent                             True            4
Content Filter Agent                               True            5
Address Rewriting Inbound Agent                    True            6
Edge Rule Agent                                    True            7
Attachment Filtering Agent                         True            8
Address Rewriting Outbound Agent                   True            9
Protocol Analysis Agent                            True            10

Estou incluindo os cabeçalhos completos das mensagens (com as identidades do servidor redigidas) de um email de um endereço IP que esteja em um SBL abaixo. É claro que a inclusão de todos os filtros de SPAM que estou causando está afetando o tempo que leva para uma mensagem passar para o servidor de caixa de correio (nesse caso, 8 segundos entre o envio ea entrega), no entanto, não parece seja o suficiente. 

X-Ms-Exchange-Organization-Network-Message-Id: 32388ce4-005a-4090-a363-08d2612d1e23
X-Ms-Exchange-Organization-Authas: Anonymous
Pm-Xs: 15766241f_7460962er.x15766241
X-Ms-Exchange-Organization-Avstamp-Enterprise: 1.0
Vr-Yhkrg: 15766241s-15766241e_i7460962
X-Ms-Exchange-Organization-Prd: heliq240.emited.work
X-Ms-Exchange-Organization-Pcl: 2
Return-Path: [email protected]
X-Ms-Exchange-Organization-Scl: 1
Mime-Version: 1.0
Ybu-Efa: c3195284488a449ed165c2c50f18376bb-ec3195284488a449ed165c2c50f18376b.u15766241
Okul-Lfp: 15766241y.15766241n_c7460962
X-Ms-Exchange-Organization-Senderidresult: None
X-Ms-Exchange-Organization-Antispam-Report: DV:3.3.14519.472;SID:SenderIDStatus None;OrigIP:66.248.197.240
Message-Id: <c3195284488a449ed165c2c50f18376b.15766241.7460962@heliq240.emited.work>
X-Ms-Exchange-Organization-Authsource: edgeserver.mydomain.com
Content-Type: multipart/alternative; boundary="15766241"
Received-Spf: None (edgeserver.mydomain.com: [email protected] does not designate permitted sender hosts)
Received: from mailboxserver.mydomain.com (192.168.1.2) by mailboxserver.mydomain.com (192.168.1.2) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Mailbox Transport; Wed, 20 May 2015 10:59:49 -0500
Received: from mailboxserver.mydomain.com (192.168.1.49) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 20 May 2015 10:59:43 -0500
Received: from edgeserver.mydomain.com (192.168.1.4) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend Transport; Wed, 20 May 2015 10:59:43 -0500
Received: from heliq240.emited.work (66.248.197.240) by edgeserver.mydomain.com (192.168.1.4) with Microsoft SMTP Server id 15.0.847.32; Wed, 20 May 2015 10:59:41 -0500
New telecommuting opportunities available today - 05/20/15

Alguma sugestão?

Além disso, esta é minha primeira postagem em qualquer um dos sites do Stack Exchange. Espero que esta questão seja merecida e esteja no site correto. Se não, por favor me avise!

    
por Sean W 20.05.2015 / 18:50

1 resposta

0

Eu recomendo que você também marque suas AllowLists, já que parece que você tem um duro contato com uma BlockList (presumivelmente habilitada). Meu palpite é que você deve ter uma regra no fluxo de transporte que valida com êxito a mensagem. Como o Filtro de Conexão é o mais alto da lista, eu acho que o dinheiro pára por aí.

    
por 20.05.2015 / 20:10

Tags

Script de Logoff em Serviços de Área de Trabalho Remota Puppet master (3.6.2) erro ao assinar cliente de marionetes (2.7.25)