Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Connect (ex Kerio MailServer)

Автор: Zangezi
Дата сообщения: 14.08.2008 15:36
Ничего. За 14 число только запись о резервном копировании.

Добавлено:
Можно ли как-нибудь сделать, чтобы айпишник блокировался и заносился в черный список после нескольких неудачных попыток залогиниться на POP3 или переслать через SMTP?
Автор: sergikhack
Дата сообщения: 15.08.2008 07:00
noblekey
Debug log после перехода с 6.4.2 на 6.5.0 пересал писать такую инфу, как в 6.5.1 и выше не знаю, наверное не восстановили.


Цитата:
Похоже на вирус

Да действительно похоже, проверяй все машины в сети свежими базами, а также смотри netstat -b например, какие программы куда коннектятся на каждой машине (при условии что машин у тебя в сети не много).


Цитата:
Можно ли как-нибудь сделать, чтобы айпишник блокировался и заносился в черный список после нескольких неудачных попыток залогиниться на POP3 или переслать через SMTP?

Помоему, такого нет.
Автор: noblekey
Дата сообщения: 15.08.2008 08:10
sergikhack

Цитата:
Debug log после перехода с 6.4.2 на 6.5.0 пересал писать такую инфу, как в 6.5.1 и выше не знаю, наверное не восстановили.

Так это настраивается по правой кнопке мыши на логе пункт Сообщения
Автор: sergikhack
Дата сообщения: 15.08.2008 10:03

Цитата:
Так это настраивается по правой кнопке мыши на логе пункт Сообщения


Не знал (не обращал внимания), использовал правую кнопку только для очистки протокола.
Автор: Zangezi
Дата сообщения: 15.08.2008 13:44
Я, конечно, на вирусы сетку проверю, как раз собирался с Каспера на Нода перейти. Но ведь ломятся постоянно постоянно с разных левых айпишников, рилей пытаются пробить, засылают мне сообщения на несуществующие адреса типа "direc(k)tor@petrfarv.ru; buhgalter(ia)@petrfarv.ru", похоже и на атаки.
Автор: noblekey
Дата сообщения: 15.08.2008 14:55
Zangezi
А фильтр спама на что, Запрещай Весь домен *petrfarv.ru

Цитата:

Я, конечно, на вирусы сетку проверю, как раз собирался с Каспера на Нода перейти

Переходи на корпоративную версию антивируса (не знаю у Нода есть ли), так как легче админить, обновлять и проверять
Автор: Zangezi
Дата сообщения: 17.08.2008 10:24
noblekey
petrfarv.ru - это мой домен. А вот теперь такой гемор начался: сам по себе перестал отвечать SMTP на 25 порту. КMS говорит, что смтп запущен, в логах тишина, но он не работает.

Добавлено:
Ан-нет работает... другие пользователи могут отправлять сообщения, а я нет. Мой сервак меня забанил? :-D
И еще, кто-нибудь знает, почему письма с моего сервера у всех помечаются как спам?!
Автор: haltavmc
Дата сообщения: 17.08.2008 11:15
Zangezi
Мой тебе совет, отключи от греха подальше свой почтовик от внешнего мира. Кому надо, пусть временно попользуются почтой типа mail.ru.
Настрой корректно почтовик - что б с SMTP-авторизацией, никаких релеев, возможно включи грєйлистинг. И поищи что-то вроде динамической фильтрации: смысл таков, что если с ИП-адреса происходят "не кошерные" вещи (как-то попытка отправить с/на чужой адрес, неудавшиеся попытки логина и т.п.), то происходит автоматический бан ип на определенное время
(я конечно прошу прощения за слишком отдаленное описание, сам пользуюсь другим мэил-сервером, но ИМХО в КМС тоже где-то должны быть подобные настройки)

Лишь после того, как настроишь всё это - можешь открывать его во внеший мир. Правда скажу сразу полностью от подобных сообщений ты не избавишься, но их поток сократится в разы - говорю по собственному опыту. При этом, чем больше время динамического бана, тем меньше сообщений в логах.


Цитата:
почему письма с моего сервера у всех помечаются как спам

посмотри в логах кто твои письма помечает как спам - туда и обратись. Есть вероятность, что пробили твой почтовик и юзают как опен-релей либо вирус/червь где-то внутри сети.
Автор: mic59
Дата сообщения: 21.08.2008 10:16
Доброго всем дня....есть такой вопросик....при получение письма клиент пытается принять 2 письма....причем одно нормально,а второе какое то левое...почтовый сервер не имеет выход во внешний мир....на втором письме выдает ошибку:

Задача '***** - получение' сообщила об ошибке (0x800CCC0F) : 'Соединение с сервером было прервано. Если ошибка повторится, обратитесь к администратору сервера или поставщику услуг Интернета.'

Автор: Hrist
Дата сообщения: 21.08.2008 15:01
по сути мы имеем сейчас канал загруженный спамом по самое не хочу...
за два дня 257 тысяч запросов на получение спам писем... это абзац... мы имеем сейчас трафик за месяц почтовый около 4гб - это при том что стоит два фильтра в том числе и по черным спискам ип адресов.

все что я могу придумать еще - это закрыть вообще почтовый сервак у нас. и завести ящики работникам на каком нить мощном сервисе типа гугле.
Автор: StirolXXX
Дата сообщения: 21.08.2008 15:11
Hrist
DNS BlackList пробовал активировать?
Тогда керио будет посылать всех кто в черном списке, на сутки выруби SMTP для мира - перестанут так активно, дальше включиш но уже с BlackList'ингом
Автор: mic59
Дата сообщения: 22.08.2008 08:02
Уже справился....по ошибке убрал галку "Разрешить аунтификацию NTML для пользователей,прошедшии аунтификацию Kerberos"
вот что могут сделать кривые ручки )))))
Автор: Hrist
Дата сообщения: 25.08.2008 08:44
StirolXXX
у меня стоял ORF фильтр... там и днс блак листы и все что душе угодно... спам резал только так. но канал был загружен по самую завязку...

не понятно почему кериевцы до сих пор не реализовали в своем почтовике банальный грейлистинг?
Автор: Hrist
Дата сообщения: 25.08.2008 23:17
ну вот - пользовался я керио маил сервер несколько лет и ушол нынче на м-даймон
ибо так и не дождался грейлистинга и еще кучи тонких настроек фильтрации и вообще работы сервера...

кстати и вебморда - работает у мдаймона на много быстрее.
Автор: Zangezi
Дата сообщения: 26.08.2008 07:38
У меня еще несколько вопросов к опытным людям.
1. Некоторые сообщения не доходят до адресата, висят у меня в очереди, а в логе строка Status: 4.1.1 450 4.7.1 Client host rejected: cannot find your hostname [мой ip]
Как это решить?
2. Если вирус или какой-нибудь спамер пробили рилей на моем смтп, пересылка не будет отображаться в логе mail? В логе ничего нет, а меня в кучу спам-баз занесли.
3. Настроил защиту (как смог) и теперь лог security весь забит такими строчками:
---SMTP Spam attack detected from 62.48.32.170, client closed connection before SMTP greeting
---SMTP Spam attack detected from 17.250.236.193, client sent data before SMTP greeting
---IP address 83.4.164.3 found in DNS blacklist SpamCop, mail from <crooked6@iccc.cc.ia.us> to <sekretar@petrfarv.ru> rejected
и еще
---[25/Aug/2008 17:03:36] Relay attempt from IP address 192.168.0.33, mail from <906pirl@bcatalyst.com> to <ketbw@damage.com> rejected
В последнем айпишник из моей локалки. Машину эту я вроде вылечил, нод нашел там после каспера несколько гадостей, но она все равно ломится. Как же чистить?
4. Ну и последнее, буду признателен за какие-нибудь дельные советы по защите, а то ведь сервером пользоваться невозможно.
Спасибо
Автор: Hrist
Дата сообщения: 26.08.2008 09:12
Zangezi

Цитата:
Некоторые сообщения не доходят до адресата, висят у меня в очереди, а в логе строка Status: 4.1.1 450 4.7.1 Client host rejected: cannot find your hostname [мой ip]

адресат у вас в домене? или на внешке?


Цитата:
Если вирус или какой-нибудь спамер пробили рилей на моем смтп, пересылка не будет отображаться в логе mail? В логе ничего нет, а меня в кучу спам-баз занесли.

будет конечно отображаться... так же как и доставка писем на ваши внутренние адреса, то же самое только адресаты будут внешние...

рилей закрыть очень просто - в настройках смтп сервера укажите диапазон лок. ип своей сетки и разрешите ТОЛЬКО с этих ип отсылать почту. Конечно это не даст вам использовать свою почту извне - но ИМХО безопасность и исключение верятности слома паролей и занесения вашего домена во все СПАМ базы - куда ценнее..


Цитата:
---SMTP Spam attack detected from 62.48.32.170, client closed connection before SMTP greeting
---SMTP Spam attack detected from 17.250.236.193, client sent data before SMTP greeting
это нормально... счас спамеры совсем ошалели, да и бот-сети не хухры мухры - давят только так на трафик и почтовые сервера...


Цитата:
---[25/Aug/2008 17:03:36] Relay attempt from IP address 192.168.0.33, mail from <906pirl@bcatalyst.com> to <ketbw@damage.com> rejected
В последнем айпишник из моей локалки. Машину эту я вроде вылечил, нод нашел там после каспера несколько гадостей, но она все равно ломится. Как же чистить?
очень странно - так как обычно после НОДа приходиться чистит каспером или др-вебом. НО - по любому - чистить надо загрузившись с сд и запустив с него же проверку - иначе есть вирусы которые даже в безопасном режиме запустяться и не дадут вам их обнаружить и убить...
Автор: Zangezi
Дата сообщения: 26.08.2008 14:00
Hrist
1. Адресат на внешке.
2. Ни одной "левой" пересылки в логе нет. Тем не менее я в блэклистах.
Автор: Hrist
Дата сообщения: 26.08.2008 15:09

Цитата:
1. Адресат на внешке.

гм. похоже почтовик адресата не может найти соответсвие доменного иммени с которого вы шлете письмо и вашему ип


Цитата:
2. Ни одной "левой" пересылки в логе нет. Тем не менее я в блэклистах.
достаточно было подержать какое то время открым релеем почтовик или открыть порты почтовые для компов в локалке на отсылку спама с зараженных компов - что бы ип попал в базы черных ип. а вот убрать его от туда - будет труднее - нужно писать письма админам этих блэклистов...

ну и если ип из диапазона динамических или диалапных или еще каких то левых серобуромалиновых - то такие ип автоматом содержаться в блэклистах...
Автор: Zangezi
Дата сообщения: 26.08.2008 16:28
IP как раз реальный, домен честнокупленный, mx-запись сделали, серверу с небольшим неделя, релей я вообще открытым не держал... А вот CBL мне только что сообщил что у меня Srizbi подлец в сети и до сих пор шурудит там. Как же его, заразу, удалить?!
Автор: Liderdomofon
Дата сообщения: 26.08.2008 23:02
Народ, а расскажи, как в КMS настроить уведомления на мобильник клиента при получении сообщения, я вижу, что в настройках есть (Пользователи: Имя пользователя_состояние_мобильные устройства: Нет зарегистрированных устройств.) Как нарулить-то?
Автор: Hrist
Дата сообщения: 27.08.2008 11:34
Zangezi

Цитата:
А вот CBL мне только что сообщил что у меня Srizbi подлец в сети и до сих пор шурудит там. Как же его, заразу, удалить?!
свежим сканером - загрузиться с сд на каждом компе и почистить все компы. иначе даже под безопасным режимом можно не все выловить... ну и фаером закрыть вей локалке окромя почтового сервера порты внешние почтовые что бы почту во вне мог отправлять только он. как минимум на время чистки - а то и на всегда...


Liderdomofon
насколько я понимаю вам придеться подключать и настраивать шлюз отправки смс сообщений... сам не ковырял - на сколько я понял - это отдельная история и похоже платная...
Автор: Liderdomofon
Дата сообщения: 29.08.2008 20:34
я почитал сайт производителя, там как раз повесили информацию про работу с мобильниками, раньше не было. Имеется в виду работа со смартофонами на Симбайн и Аппл ай фоне. Фактически, сие есть мобильная версия аутлук коннектора ))) К моей ситуации не имеет ни какого отношения. Я уже решил это комбинацией в три пальца: с ящика клиента, которому нужны предупреждения, почта пересылается на промежуточный ящик, заведённый в домене мобильного опертора (выдан при подключении), и уже оотуда забирается почтовиком. Соответственно, на нужный мобильник поступает сообщение. Правда, это сообщение еще не значит, что письмо уже в ящике почтовика у клиента))), но зато это дополнительный контроль его работы )))
Автор: mar1boro
Дата сообщения: 04.09.2008 09:56
У одного из пользователей при попытке отправить письмо с помощью клиента вылезает сообщение "directory harvest attack" / подскажите пож., что это такое? и как сбросить чтобы пользователь смог отправлять почту?
Автор: FAXYAKX
Дата сообщения: 05.09.2008 06:20
Народ возник неожиданный вопрос . Суть - KMS до этого работал на 2003м серваке и никаких косяков не наблюдалось, тут приспичело перейти на 2008й - н иачалось
1. отказывается запускаться службой (у KWFа таже беда была - выличилось переустановкой фаера), а почтовик даже переставляться не хочет - и удаляться тоже
2. запустил почтовика только с экзешника, но это нифига не выход ...

может кто сталкивался с подобными граблями?
Автор: StirolXXX
Дата сообщения: 05.09.2008 08:38
FAXYAKX
Версию поновее не пробовали?
Автор: Hrist
Дата сообщения: 05.09.2008 15:08
mar1boro

Цитата:
У одного из пользователей при попытке отправить письмо с помощью клиента вылезает сообщение "directory harvest attack" / подскажите пож., что это такое? и как сбросить чтобы пользователь смог отправлять почту?

если не изменяет память - это в настройках керио выставлена задежка соединения поп\смтп - если клиент не дожидается соединения - то рвет его, потом при следующей попытке - ему сообщают это самое... задержка настраивается там же где и спам на самой последней закладке... ну и в клиенте то же ожидание соединения нужно выставить не меньше минуты...
Автор: yx0
Дата сообщения: 08.09.2008 15:39
Подскажите как выполнитьследуюие рекомендации (с моего почовика не ходит почта на рамблер).Ниже привожу ответ рамблеровской техподдержки.

Приводим пример лога с нашей стороны:
Aug 18 15:04:15 mx5 postfix/cleanup[82153]: 059E95F3C23: milter-reject: END-OF-MESSAGE from mail.cntp.ru[213.171.40.53]: 4.7.1 Try again later; from=<egoshin@cntp.ru> to=<hplc2008@rambler.ru> proto=ESMTP helo=<mail.cntp.ru>

По rfc-2821 Ваш почтовый сервер на временную ошибку 4.7.1 Try again later должен осуществить повторные попытки отправления в течении какого-то разумного времени, например несколько попыток в течении 5 минут, потом через полчаса. Вместо этого, видимо, он пытается отправить письмо несколько раз, после чего не делается повторных попыток. Настройте Ваш сервер в соответствии с этими рекомендациями.


Второй вопрос: как на кериосделать резервное копирование всех писем проходящих через определенный ящик- как входящие так и исходящие.
Проще говоря надо по одному из ящиков хранить всю переписку, без возможности удаления пользователем.
Спасибо за все советы.
Автор: Frose
Дата сообщения: 09.09.2008 16:07
Всем привет!!! У меня вот какое случилось чудо.... Вообщем Белый лист. Раньше все нормально было а теперь пропал , захожу через web настройки , а нет настроек для спама, все облазил и через http и через https ну нет и все , мануал перелопатил , там вообще что то ни чего не нашел о белом листе, может кто нибудь знает как мне помоч, что самое главное вот просто пропали настройк и все, может и Я конечно туплю.

Добавлено:

Цитата:
yx0

сервер SMTP ---- параметры очереди. собственно там все настройки для Тебя.

Добавлено:
и архивирование и резервное копирование , но там по моему нет настроек для конкретного ящика
Автор: giorgit
Дата сообщения: 09.09.2008 21:38
Пипл, если я сменю свой кмс 6.5.0 на 6.5.1 это значит что я должен сменить аутлук коннектор на всех юзерах?
Или старый будет пахать на новом?
Автор: sergikhack
Дата сообщения: 10.09.2008 14:00
giorgit
Надо менять, я сам из-за этого только не прехожу.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139

Предыдущая тема: Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.