» Все о MDaemon (#5)

kaign Погляди настройки этого списка рассылки в плане, кто будет отправитель. Обычно подставляется емайл того, кто отправляет, ему и должны приходить ответы о недоставке. если вы указали отправителем
сам адрес рассылки, то возможно тут и зарыта собака, если на этот список могут отправлять только определенные лица из локалки.
Погляди еще Navigation: Security Menu > Security Settings > Screening > Recipient Blacklist
может там указан твой адрес.

Если Mdaemon куплен на 250 лицензий, а SecurityPlus купить к примеру на 5 юзеров, будет ли адекватно все проверять и есть ли какие-то подводные камни с такой разницей в лицензиях? Кто в теме помогайте!

День добрый!
В удалённой очереди, скапливаются вот такие письма:

Код: Received: from by (via RAW) (MDaemon PRO v10.0.2)
    for <pressmany08@amazon.kwiveolicensings.com>; Wed, 29 Oct 2014 12:58:53 +0600
Date: Wed, 29 Oct 2014 12:58:53 +0600
From: Postmaster@.ru
Reply-To: Postmaster@.ru
Precedence: bulk
Subject: MDaemon Notification -- Attachment Removed
To: pressmany08@amazon.kwiveolicensings.com
X-MDaemon-Deliver-To: pressmany08@amazon.kwiveolicensings.com
Message-ID: <MDAEMON9021201410291258.AA5853156@sibesnv.ru>
Mime-Version: 1.0
X-Actual-From: Postmaster@.ru
X-MDSend-Notifications-To: [trash]
X-MDCF-Generated: yes
Content-Type: text/plain; charset=Windows-1251
X-Return-Path: <Postmaster@.ru>

-------------------------------------------------------------------
MDaemon has detected restricted attachments within an email message
-------------------------------------------------------------------

From : pressmany08@amazon.kwiveolicensings.com
To : test@.ru
Subject : [***SPAM*** Score/Req: 03.40/3.0] my new photo
Message-ID: <4951012683.DBAXAZF4212020@baici.ucrgngzsv.ru>

---------------------
Attachment(s) removed
---------------------
photo_my_new_iphone_8975984768954769845.exe

mightu86

Цитата:

From: Postmaster@sibesnv.ru
.................
To: pressmany08@amazon.kwiveolicensings.com


но почему оно в удалённой почте находится?

Потому что с этого адреса (которого скорей всего и не существует) пытались заслать какой-то вирус - photo_my_new_iphone_8975984768954769845.exe, а в MDaemon'е по умолчанию стоит правило удалять все exe'шники.

Цитата:

Потому что с этого адреса (которого скорей всего и не существует) пытались заслать какой-то вирус  - photo_my_new_iphone_8975984768954769845.exe, а в MDaemon'е по умолчанию стоит правило удалять все exe'шники.

Это я как раз понимаю, я не думаю, что это первый раз нам пытаются послать письмо с exe. файлами, но почему-то только сегодня они стали скапливаться в удалённой очереди, и приходить уведомления нашим адресам...
Где посмотреть настройки, которые отвечают за это? =)

P.S. по поводу адреса, тоже ясно, что он явно подставной и не существует... по идее от этого должна спасать проверка по PTR, которая у нас стоит, но галку по совпадению я не ставил, т.к. боюсь сильно много почтовиков и нужных(но не правильно настроенных) будет отсекаться ... а это нужно сидеть и мониторить и добавлять их адрес в белый список, на что, нету ни времени ни ресурсов(человеческих).

mightu86


Цитата:

и по идее сотрудник не должен даже знать, что такой спам до него должен был дойти ...

Лечится -
Безопасность - Фильтр содержания - Вложения (Уведомления)
Оставьте нужные вам типы файлов и нужные вам галочки.

Цитата:

Лечится -  
Безопасность - Фильтр содержания - Вложения (Уведомления)
Оставьте нужные вам типы файлов и нужные вам галочки.

Всё настроил, спасибо такое большое... человеческое!

P.S. Попутно вопрос, есть ли толк от поиска по PTR записи, но без совпадения по тому же PTR?
И много ли смысла от обновления самого почтовика Mdaemona?

хм. спамеры активизировались. за сегодня MDaemon перехватил три таких же письма с вложениями
photo_my_new_iphone_8975984768954769845.exe
my_photo_holiday_my_ass_7786868767878.exe

mightu86

Цитата:

Попутно вопрос, есть ли толк от поиска по PTR записи, но без совпадения по тому же PTR?

Нет.


Цитата:

И много ли смысла от обновления самого почтовика Mdaemona?

Нет.
Хотя это только моё мнение и не более. Срабатывает принцип программиста, "не трогай то, что и так хорошо работает".



Добавлено:
ury_dankov

Цитата:

хм. спамеры активизировались.

Осеннее обострение.

mightu86

Цитата:

есть ли толк от поиска по PTR записи, но без совпадения по тому же PTR?

Есть и надо брить, если записи в прямой и обратной зоне не совпадают -RFC 1912 2.1

Цитата:

много ли смысла от обновления самого почтовика Mdaemona?

Если латают дыры уязвимостей, то нужно патчить. Насчет свежих - тут надо много думать. При переходе на новые версии (на номер, а не билды) зачастую перестает работать то , что нормально работало в предыдущих. У ALTN-N свое видение на почтовик, не дают админу полный инструмент. Например в 11 версии на списки рассылки можно было слать письма с пустым полем FROM, а в 13 якобы в целях безопасности убрали. Не ушли важные письма. Убил 2 дня, пока не додумался почитать relnotes. Почитай для интересу http://archive.altn.com/MDaemon/Archive/14.0.3/RelNotes_ru.html сколько багов пофиксено. Руки у ихних программеров явно из того места растут. Если надумаешь переходить - внимательно читай все релнотсы до твоей версии. И после выхода новой X.0.0 никогда ее не ставь, дождиcь хотя бы X.0.2.

Цитата:

хм. спамеры активизировались. за сегодня MDaemon перехватил три таких же письма с вложениями
photo_my_new_iphone_8975984768954769845.exe
my_photo_holiday_my_ass_7786868767878.exe

Слушай я тоже заметил ... причём не только сегодня. До этого тоже самое приходило, но только в архивах. Сейчас уже в наглую, тупо exe. шлют.
Причём это уже не рядовая без обидная спам рассылка, а явно какие-то вредоносные приложения...

Цитата:

Нет.

Наверное соглашусь с вами, кол-во писем в спам ловушке не сильно убавилось, после включения, без совпадения. А вот нужную почту, уже пару раз пришлось добавлять вручную в исключения.

Цитата:

Нет.  
Хотя это только моё мнение и не более. Срабатывает принцип программиста, "не трогай то, что и так хорошо работает".

Даже по данной теме видно, что у всех разные версии, это называется модным словом нынче - фрагментация! Наверное это минус, для тех кто помогает в данной теме, таким как я.

P.S. Встаёт тогда другой вопрос, какая версия на данный момент самая стабильная?
И как я понимаю обновление проходит, просто установкой новой версии в ту же папку, поверх старой? И какие подводные камни могут вылезти?

Ребята, аналогичная ситуация, точно с таких же адресов приходят письма некоторым юзерам.
exe файлы вырезаются, но письмо всеравно доходит, юзеры еще умудряются отвечать, в результате чего эти ответы повисают в удаленной очереди а постпастеру сыпется отчет.

Вопрос - почему с таких непонятных доменов письма вообще проходят, как проверки проходит? может чтото в Демоне надо подкрутить?

вот пример

Wed 2014-10-29 13:30:28: Session 24672; child 1
Wed 2014-10-29 13:30:28: Accepting SMTP connection from [86.98.78.249:58329] to [*.*.*.*:25]
Wed 2014-10-29 13:30:28: --> 220 mail.domen.ru ESMTP MDaemon 12.5.6; Wed, 29 Oct 2014 13:30:28 +0900
Wed 2014-10-29 13:30:28: <-- EHLO palacaso.in
Wed 2014-10-29 13:30:28: EHLO/HELO response delayed 10 seconds
Wed 2014-10-29 13:30:38: --> 250-mail.domen.ru Hello palacaso.in, pleased to meet you
Wed 2014-10-29 13:30:38: --> 250-VRFY
Wed 2014-10-29 13:30:38: --> 250-ETRN
Wed 2014-10-29 13:30:38: --> 250-AUTH LOGIN CRAM-MD5 PLAIN
Wed 2014-10-29 13:30:38: --> 250-8BITMIME
Wed 2014-10-29 13:30:38: --> 250-STARTTLS
Wed 2014-10-29 13:30:38: --> 250 SIZE
Wed 2014-10-29 13:30:39: <-- MAIL FROM: <hectorsue9@palacaso.in> BODY=7BIT
Wed 2014-10-29 13:30:39: Performing PTR lookup (249.78.98.86.IN-ADDR.ARPA)
Wed 2014-10-29 13:30:39: * D=249.78.98.86.IN-ADDR.ARPA TTL=(348) PTR=[bba598927.alshamil.net.ae]
Wed 2014-10-29 13:30:39: * Gathering A records...
Wed 2014-10-29 13:30:39: * D=bba598927.alshamil.net.ae TTL=(348) A=[86.98.78.249]
Wed 2014-10-29 13:30:39: ---- End PTR results
Wed 2014-10-29 13:30:39: Performing IP lookup (palacaso.in)
Wed 2014-10-29 13:30:39: * D=palacaso.in TTL=(0) A=[107.161.189.9]
Wed 2014-10-29 13:30:39: ---- End IP lookup results
Wed 2014-10-29 13:30:39: Performing IP lookup (palacaso.in)
Wed 2014-10-29 13:30:39: * D=palacaso.in TTL=(0) A=[107.161.189.9]
Wed 2014-10-29 13:30:39: * P=010 S=000 D=palacaso.in TTL=(0) MX=[107.161.189.9]
Wed 2014-10-29 13:30:39: * D=palacaso.in TTL=(0) A=[107.161.189.9]
Wed 2014-10-29 13:30:39: ---- End IP lookup results
Wed 2014-10-29 13:30:39: Performing SPF lookup (palacaso.in / 86.98.78.249)
Wed 2014-10-29 13:30:39: * Policy: v=spf1 mx all
Wed 2014-10-29 13:30:40: * Evaluating mx: no match
Wed 2014-10-29 13:30:40: * Evaluating all: match
Wed 2014-10-29 13:30:40: * Result: pass
Wed 2014-10-29 13:30:40: ---- End SPF results
Wed 2014-10-29 13:30:40: --> 250 <hectorsue9@palacaso.in>, Sender ok
Wed 2014-10-29 13:30:40: <-- RCPT TO:<dir.***@domen.ru>
Wed 2014-10-29 13:30:40: Производится поиск DNS-BL (86.98.78.249 – соединение с IP)
Wed 2014-10-29 13:30:40: * bl.spamcop.net - прошло
Wed 2014-10-29 13:30:40: * sbl-xbl.spamhaus.org - прошло
Wed 2014-10-29 13:30:41: * sbl.spamhaus.org - прошло
Wed 2014-10-29 13:30:41: * dul.dnsbl.sorbs.net - прошло
Wed 2014-10-29 13:30:42: * ex.dnsbl.org - прошло
Wed 2014-10-29 13:30:42: * moensted.dk/spam/no-more-funn - прошло
Wed 2014-10-29 13:30:42: ---- Конечные результаты DNS-BL
Wed 2014-10-29 13:30:42: --> 250 <dir.***@domen.ru>, Recipient ok
Wed 2014-10-29 13:30:57: Creating temp file (SMTP): c:\mdaemon\queues\temp\md50000007869.tmp
Wed 2014-10-29 13:30:57: --> 354 Enter mail, end with <CRLF>.<CRLF>
Wed 2014-10-29 13:31:18: Message size: 104435 bytes
Wed 2014-10-29 13:31:18: Performing VBR certification (Domain: palacaso.in, Auth: SPF)
Wed 2014-10-29 13:31:18: * File: c:\mdaemon\queues\temp\md50000007869.tmp
Wed 2014-10-29 13:31:18: * Message-ID: <5607985056.WQPDC5O0501097@dezdvgniusuz.lfvatu.org>
Wed 2014-10-29 13:31:18: * Certifier (trusted): vbr.emailcertification.org ...
Wed 2014-10-29 13:31:18: * Querying: palacaso.in._vouch.vbr.emailcertification.org ...
Wed 2014-10-29 13:31:18: * Certifier does not recognize that domain
Wed 2014-10-29 13:31:18: * Certification result: message not certified
Wed 2014-10-29 13:31:18: ---- End VBR results
Wed 2014-10-29 13:31:18: Passing message through AntiVirus (Size: 104435)...
Wed 2014-10-29 13:31:18: * Сообщение чистое (вирусов не обнаружено)
Wed 2014-10-29 13:31:18: ---- End AntiVirus results
Wed 2014-10-29 13:31:18: Spam filter scan skipped; message size (104435) exceeds spam filter configured max size of (102400)
Wed 2014-10-29 13:31:18: Создание сообщения successful: c:\mdaemon\queues\inbound\md50000369276.msg
Wed 2014-10-29 13:31:18: --> 250 Ok, message saved <Message-ID: 5607985056.WQPDC5O0501097@dezdvgniusuz.lfvatu.org>
Wed 2014-10-29 13:31:19: <-- QUIT
Wed 2014-10-29 13:31:19: --> 221 See ya in cyberspace
Wed 2014-10-29 13:31:19: SMTP session successful (Bytes in/out: 104695/652)

Постоянно попадают в очередь неверных сообщений письма для рассылки, отправленные с одного и того же адреса. ipmanyak советовал проверить настройки безопасности и самой рассылки, там ничего не нашел, зато нашел в логах маршрутизации следущее:

Цитата:

Tue 2014-10-21 12:25:03: Routing message (local queue): c:\mdaemon\localq\pd50002941005.msg
Tue 2014-10-21 12:25:03: * From: Mailer-Daemon@mail.belpak.by; Recipient: User@domain.com
Tue 2014-10-21 12:25:03: * Subject: [info] Mail delivery failed: returning message to sender
Tue 2014-10-21 12:25:03: * Message-ID: <MDAEMON-F201410211225.AA2502570md80002941003@atomtex.com>
Tue 2014-10-21 12:25:03: * Сообщение, отправленное в рассылку example@domain.com, удалено; отправитель не авторизован

Хотя я внес этот адрес во всевозможные белые списки.

dragovich01
Цитата:

Вопрос - почему с таких непонятных доменов письма вообще проходят, как проверки проходит?

Тебе же черным по английски написано:
Spam filter scan skipped; message size (104435) exceeds spam filter configured max size of (102400)

Поставил mDaemon 13.6.3 на Server 2008R2 - сразу проблема, нет значка в трее при загрузке (галки все стоят), хотя служба работает. Если запустить руками - значок появляется, но если программу закрыть - опять пропадает. В 2003 сервере значок был всегда . Как то лечится?

Oddisey
http://www.altn.com/Support/KnowledgeBase/KnowledgeBaseResults/?Number=KBA-01963
http://www.altn.com/Support/KnowledgeBase/KnowledgeBaseResults/?Number=KBA-01346
http://www.altn.com/Support/KnowledgeBase/KnowledgeBaseResults/?Number=KBA-01761

Спасибо, но там говорится про терминальную сессию, а у меня и локально значок не появляется. Собственно не большая проблема запустить руками (можно ярлык вытащить), но на 2003 привык к значку - удобно, там куча действий на правой кнопке.

Oddisey
В настройках запуска MDaemon галка есть "Всегда показывать значок на панели задач"
Так что при запуске конфигурационной сессии в трее тоже появляется значок. Сворачивай окно и все. Ну или запускай его свернутым сразу.
В русской версии тут:
Настройка - Настройки... - Настройки - Интерфейс (UI): Запустить MDaemon...

Если РУКАМИ запустить демона, значок есть (я писал - галки все стоят!), но стоит его закрыть - значок пропадает. На 2003 значок есть ВСЕГДА - закрыт, открыт, сразу после загрузки винды - ВСЕГДА. Как например значок мТорента - программа работает в фоне, если даже ее закрыть крестиком (на панели задач все чисто), а значок висит в трее рядом с часами. Нужно что то сделать - щелкнул правой кнопкой - развернул меню. Удобно, почему только это похерили на свежей винде - тот же мТоррент работает прекрасно, никуда значок не пропадает...

...на запущенном конфигураторе значок как раз абсолютно не нужен - в конфигураторе все есть. А получается что значок живет на 2008R2 только вместе с конфигуратором ...

Oddisey Забей на значок, просто стартуй Mdaemon еще раз, или юзай WEBADMIN

...остается только забить. Собственно когда все работает, значок особо без надобности. Только вот живем мы в Азии (Владивосток), до того же Китая 200км, а связь с Азией у нас ОТВРАТИТЕЛЬНАЯ. Сигнал в Китай, Корею и Японию идет реально вокруг света: Владивосток (Азия)- Европа- атлантика- Америка- Тихий океан-Азия. Вот стандартный tracert на китайский майлсервер:


5 43 ms 42 ms 43 ms 194.186.238.197
6 231 ms 230 ms 231 ms mx01.Frankfurt.gldn.net [79.104.235.74]
7 231 ms 230 ms 231 ms ix-4-2-2-0.thar1.F2C-Frankfurt.as6453.net [195.219.148.41]
8 398 ms 398 ms 398 ms if-2-2.tcore1.FNM-Frankfurt.as6453.net [195.219.156.129]
9 398 ms 398 ms 397 ms if-6-4.tcore1.AV2-Amsterdam.as6453.net [195.219.156.62]
10 394 ms 393 ms 393 ms if-2-2.tcore2.AV2-Amsterdam.as6453.net [195.219.194.6]
11 * * 392 ms if-8-2.tcore2.L78-London.as6453.net [80.231.131.5]
12 * * * Превышен интервал ожидания для запроса.
13 395 ms 395 ms 395 ms if-11-2.tcore1.NYY-New-York.as6453.net [216.6.99.2]
14 402 ms 401 ms 401 ms if-1-2.tcore1.PDI-Palo-Alto.as6453.net [66.198.127.5]
15 402 ms 402 ms 409 ms if-2-2.tcore2.PDI-Palo-Alto.as6453.net [66.198.127.2]
16 393 ms 394 ms 393 ms if-5-2.tcore2.SQN-San-Jose.as6453.net [64.86.21.1]
17 394 ms 395 ms 396 ms if-1-2.tcore1.SQN-San-Jose.as6453.net [63.243.205.1]
18 395 ms 395 ms 395 ms 63.243.205.90
19 * 679 ms * 219.158.102.145
20 * * * Превышен интервал ожидания для запроса.
21 683 ms * 685 ms 219.158.101.45
22 * * 708 ms 219.158.12.150
23 705 ms 701 ms * 139.226.201.70
24 * 785 ms * 139.226.196.226
25 * * * Превышен интервал ожидания для запроса.
26 * * * Превышен интервал ожидания для запроса.
27 * * * Превышен интервал ожидания для запроса.
28 * * * Превышен интервал ожидания для запроса.
29 * * * Превышен интервал ожидания для запроса.
30 * * * Превышен интервал ожидания для запроса.

Соответственно через день приходится вытаскивать у юзеров в Китае-Корее большие письма из ящиков - они просто не пролазят в такой "канал". Бывают недели, когда письма перестают ходить в тот же Китай совсем, а В Корею приходят пустые или в виде каши. В Китае еще файрвол общеКитайский, будь он неладен...

За апдейтами не слежу, на 12-й версии один из юзеров почтовика словил на неделе шифровальщик, архив в раре, внутри "открой меня.scr". Ну он и открыл... В связи с этим вопросы: в новых версиях контроля содержимого rar архивов так и нет? Если нет, то как бы прикрутить проверку самому, есть мысли?

karbofos666
SecurityPlus вам в помощь, ну и на рабочем месте тоже хотя бы аваст не помешал бы.
А юзеру руки отрубить за разгильдяйство!

Шифровальщики в момент рассылки как правило, не ловятся ни одним антивирусом, даже со включенной полной эвристикой. А когда попадают в базы - просто выпускается новая модификация.

Подтверждаю, причем в одной конторе ДВАЖДЫ - касперский даже не всхлипнул, благо бэкап ежедневный на сетевом диске, туда шифровальщик не доберется.

...я ему (касперскому) потом это письмо руками скармливал - никакой реакции. Только был вордовский файл якобы с вложением .pdf - резюме какой то Наташи ...

По поводу шифровальщиков - это новая модификация - ну скажем так - переупакованная - и она не ловится антимирами - именно по этому её и запустили сейчас в ход!!!

С начала года они пошли, и сразу не ловились, а до сети очень даже добираются, если шара доступна.
Я вот думаю, в контент фильтре на rar пускать архиватор на просмотр архива, парсить stdout, искать строку exe-scr-vbs, если нашлось - резать вложение.

Как он доберется до сетевого диска, если у юзера нет прав на него?

Добрый вечер!
Вопрос, у кого какие, вложения запрещены в вложениях (Фильтр содержания)?
И проверяет ли данный фильтр .rar архивы на вложения, или только .zip?

P.S. Советую, всем внести файлы *.JS (JavaScript ) в запрещённые ... прохватил на одной машинке вот такую заразу http://forum.drweb.com/index.php?showtopic=318074, все документы пользователя в треш. Причём письмо пришло так хитро замаскированное ... даже опытный пользователь может ошибиться.

P.S.2. Когда запостил, почитал комментарии выше, понял, что не одинок ... видать пошла новая волна этих шифровальщиков, мать их за ногу. И самое главная опасность тут, это та самая прокладка, между стулом и ПК...

mightu86


Цитата:

Вопрос, у кого какие, вложения запрещены в вложениях (Фильтр содержания)?

кроме стандартных: lnk и js


Цитата:

И проверяет ли данный фильтр .rar архивы на вложения, или только .zip?

rar и другие архивы кроме zip не проверяет.