Перейти к содержимому


Фото
- - - - -

Exchange 2013 антиспам не работает.


  • Please log in to reply
39 ответов в этой теме

#1 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 11:53

Здравствуйте.

 

Есть Exchange 2013 CU18. На нем установлен Dr.Web for Exchange (антиспам/антивирус).

Клиенты в основном MS Outlook 2013, также используется OWA и мобильные клиенты (под iOS/Android).

В настройках антиспама, для всех 3 категорий спама стоит действие Mark with move to Junk

Судя по заголовкам письма, ДрВеб письмо обрабатывает, но в папку нежелательной почты не перемещает.

Пример выдержки из заголовка:

X-AntiSpam: Checked by Dr.Web for Exchange Transport Agent
X-DrWeb-SpamRate: 500
X-DrWeb-SpamReason: Vade Retro 01.400.43 AS+AV+AP Profile: <none>; Bailout:
 N/A; ^ForbiddenHdr (500)
X-MS-Exchange-Organization-SCL: 5
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0

 

Причем, перемещение не работает в ~ 98% случаев, а иногда, в ~2% - работает.

Закономерности никакой не вижу, разве что ночью вероятность корректного срабатывания выше.

В Admin Web Console, в логе, для всего спама результат отражается как Moved to Junk, но по факту письма не перемещаются.

 

 

В техподдержку обратился неделю назад (а до этого пытался решить вопрос самостоятельно).  Идет вялая переписка с уточняющими вопросами. Результата пока нет.

Пользователи бесятся (~150 чел), руководство медленно закипает. К слову, перед этим ~5 лет стоял GFI ME— работал хорошо.

 

Пытался переставлять DrWeb с нуля  - не помогает. По всякому игрался настройками, результат =0.

Пока не выкладываю cmsdb и cmstracedb и прочие сведения, но если это поможет, то готов выложить.

 

Подскажите, куда копать? И что вообще можно сделать?

 



#2 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:03

rgb, подскажите номер запроса в тех.поддержку.


Best regards, Zaets Kirill
Doctor Web, Ltd.

#3 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:06

Добрый день.

 

Можете приложить (или переслать в личку) пример письма, которое дошло пользователю и не переместилось, как положено?



#4 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:08

X-MS-Exchange-Organization-SCL: 5

Вот этот хедер отвечает за "move to Junk". ИМХО вопрос к самому Exchange.


Best regards, Zaets Kirill
Doctor Web, Ltd.

#5 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:11

Вот, например.



#6 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:12

Я чего-то не заметила, или оно не приложилось?



#7 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:13

Вот этот хедер отвечает за "move to Junk". ИМХО вопрос к самому Exchange.

Куда смотреть, не подскажите? Никаких спецастроек вроде нету.



#8 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:15

Я чего-то не заметила, или оно не приложилось?

Ошибка Вам запрещена загрузка файлов этого типа

Зазиповал, теперь вроде приложилось.

Прикрепленные файлы:



#9 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:17

Я посмотрела ваш запрос. В том письме, которое вы отдали в техподдержку, оно определялось как спам до пересылки, а после пересылки антиспам уже не определяет его как спам. Скорее всего, из-за того, что отправитель соответствует получателю.

 

Спасибо, сейчас посмотрю.


Сообщение было изменено Valentina Yugai: 01 Ноябрь 2017 - 12:18


#10 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 229 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:19

rgb, подскажите номер запроса в тех.поддержку.

У Вас нет авторизации на support.drweb.ru.


Информационная безопасность - это не запретить, не пустить, закрыть. Информационная безопасность - это оценить, посоветовать, пояснить, поговорить, понять, предложить.

#11 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:25

В этом примере, видимо, прав Кирилл. Письмо определяется, все заголовки проставлены корректно.



#12 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:32

Мы разбираемся в проблеме.

 

У вас везде, где воспроизводится проблема, действие стоит "move to junk"? Другие варианты действий тоже не отрабатывают?



#13 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:39

У вас везде, где воспроизводится проблема, действие стоит "move to junk"? Другие варианты действий тоже не отрабатывают?

Пробовал Add prefix to Subject - ситуация такая же. Спам маркируется выборочно. Как я говорил вероятность корректной работы выше ночью. Сервер сам по себе вроде не тормозит, не перегружен, т.е. с нагрузкой это вроде не связано, средняя утилизация процессора днем 10-15%. Если это важно сервер - виртуалка на HyperV, можно попробовать добавить ресурсов, но не думаю, что это связано.



#14 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:44

Странно это, на самом деле.

 

Вот тут есть статья по поводу значения, которое мы выставляем: https://technet.microsoft.com/ru-ru/library/aa995744(v=exchg.150).aspx

 

Значение в приведенном Кириллом заголовке должно приводить к перемещению в junk, разве что у вас как-то не так настроены эти пороги.

 

Можете приложить пример с неизмененной темой письма?



#15 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 12:49

И еще один вопрос: как у вас организовано подключение клиентов? Я правильно понимаю, что есть в том числе мобильные клиенты, то есть доступ к Exchange есть через Exchange Online?



#16 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 13:05

Можете приложить пример с неизмененной темой письма?

 

Сейчас поставлю "Add prefix to subject", как спам свалится - выложу.

 

И еще один вопрос: как у вас организовано подключение клиентов? Я правильно понимаю, что есть в том числе мобильные клиенты, то есть доступ к Exchange есть через Exchange Online?

 

Большинство  клиентов в офисе, по локалке, стандартно. Интеграции с облаком нет, Exchange Online тоже нет. Мобильные клиенты подключаются с помощью клиента Exchange встроенного в iOS/Android, некоторые по IMAP (мобильные устройства личные, никакой стандартизации нет, сотрудники в основном настраивали самостоятельно). Некоторые сотрудники пользуются Outlook Web Access из дома со стационарных компьютеров. Но я никакой зависимости поведения антиспама от клиента не вижу.

 

Вот тут есть статья по поводу значения, которое мы выставляем

 

Спасибо, читаю.



#17 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 13:25

Можете приложить пример с неизмененной темой письма?

Пока 1 письмо спам, 1 письмо тест Vade Secure - тема корректно помечается префиксом.



#18 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 16:57

Можете приложить пример с неизмененной темой письма?



#19 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 01 Ноябрь 2017 - 17:56

На это письмо действительно нет реакции антиспама.

Отправьте это письмо в виде вложения на адрес vrspam@drweb.com для анализа.


Best regards, Zaets Kirill
Doctor Web, Ltd.

#20 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 17:56

Спасибо за ответ.

 

К сожалению, это письмо действительно не распознается на данный момент нашим спам-фильтром как спам. Об этом свидетельствует отсутствие в письме других наших заголовков, кроме "X-AntiSpam: Checked by Dr.Web for Exchange Transport Agent". Спасибо за образец, мы отправим его на анализ, и в будущем постараемся исправить ситуацию.

 

Если у вас будут еще образцы, для которых будет такая же картина, отправляйте их, пожалуйста, на адрес vrspam@drweb.com .

 

В документации описаны адреса, куда можно отправить письма, которые ложно принимаются за спам или не распознаются как спам:

 

https://download.geo.drweb.com/pub/drweb/exchange/11.0/documentation/html/ru/index.html?dw_anti-spam.htm

 

P.S.: Эх, Кирилл опередил :)


Сообщение было изменено Valentina Yugai: 01 Ноябрь 2017 - 17:57



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых