Перейти к содержимому


Фото
- - - - -

Exchange 2013 антиспам не работает.


  • Please log in to reply
39 ответов в этой теме

#21 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:11

По поводу проблемы с перемещением - попробуйте убедиться, что параметр SCLJunkThreshold на сервере настроен корректно:

 

https://technet.microsoft.com/ru-ru/library/bb123559(v=exchg.150).aspx



#22 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:22

попробуйте убедиться, что параметр SCLJunkThreshold на сервере настроен корректно

Возможно в этом причина. Или одна из причин.

 

Было так:
[PS] C:\users>Get-OrganizationConfig | fl "SCL*"
SCLJunkThreshold : 8

 

Сделал:
Set-OrganizationConfig -SCLJunkThreshold 4

 

Стало вот так:
[PS] C:\users>Get-OrganizationConfig | fl "SCL*"
SCLJunkThreshold : 4

 

 

Как лучше поступить: оставить параметры в антиспаме "Add prefix to subject" или поменять на "Mark with move to Junk"?



#23 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:27

Попробовал с разными параметрами  "Add prefix to subject" и "Mark with move to Junk" тестовое письмо Vade Secure

Префикс приписывается корректно, а перемещение не отрабатывается.



#24 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:32

Я думаю, параметр лучше ставить в значение по умолчанию - 5.

 

Как лучше поступить: оставить параметры в антиспаме "Add prefix to subject" или поменять на "Mark with move to Junk"?

 

Как вам удобнее.

 

Попробовал с разными параметрами  "Add prefix to subject" и "Mark with move to Junk" тестовое письмо Vade Secure
Префикс приписывается корректно, а перемещение не отрабатывается.

 

Можете приложить письмо в результате теста перемещения? На каком клиенте вы это делаете?



#25 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:35

Я думаю, параметр лучше ставить в значение по умолчанию - 5.

Нет, надо именно 4 - "Например, если задать для него значение 4, то в папку "Нежелательные сообщения" будут попадать сообщения, значение SCL у которых — 5 или выше."

 

Выполните Get-ContentFilterConfig, посмотрите, что бы значение SCLJunkThreshold параметра было меньше других пороговых параметров SCL. 


Сообщение было изменено Kirill Zaets: 01 Ноябрь 2017 - 18:36

Best regards, Zaets Kirill
Doctor Web, Ltd.

#26 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:45

Выполните Get-ContentFilterConfig, посмотрите, что бы значение SCLJunkThreshold параметра должно быть меньше других пороговых параметров SCL.

 

 

[PS] C:\users>Get-ContentFilterConfig | fl "SCL*"

SCLRejectThreshold     : 7
SCLRejectEnabled       : True
SCLDeleteThreshold     : 9
SCLDeleteEnabled       : False
SCLQuarantineThreshold : 9
SCLQuarantineEnabled   : False

 

 

Можете приложить письмо в результате теста перемещения? На каком клиенте вы это делаете?

 

Приложил.  Проверяю на Outlook 2013. Не перемещается.

Ещё проверил на Windows Live Mail (по IMAP) там письмо переместилось в нежелательную почту. Но там похоже сработал  локальный фильтр.

Сейчас без него ещё раз попробую.

Прикрепленные файлы:



#27 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 18:51

Сейчас без него ещё раз попробую.

Да, если в Live Mail отключить локальный фильтр, то перемещение не работает.



#28 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 01 Ноябрь 2017 - 20:17

rgb, давайте тогда по-другому поступим. Выставите значение SCLJunkThreshold назад в "8", а в CMS консоли плагина в DrWebAgentStub_1.0 -> Application Settings  для параметра SCLTreshold выставите 9.


Best regards, Zaets Kirill
Doctor Web, Ltd.

#29 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 01 Ноябрь 2017 - 20:49

rgb, давайте тогда по-другому поступим. Выставите значение SCLJunkThreshold назад в "8", а в CMS консоли плагина в DrWebAgentStub_1.0 -> Application Settings  для параметра SCLTreshold выставите 9.

Сделал.

Послал тестовое письмо - не отработалось.

В заголовках X-MS-Exchange-Organization-SCL: 5

Никакие службы перезапускать не надо?


Сообщение было изменено rgb: 01 Ноябрь 2017 - 20:53


#30 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 02 Ноябрь 2017 - 09:23

Никакие службы перезапускать не надо?

Ночью перезапустил сервер. В заголовках стало X-MS-Exchange-Organization-SCL: 9

По прежнему, часть спама отрабатывается, часть - нет.



#31 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 02 Ноябрь 2017 - 11:18

Да, про службы то я и забыл.

Перезапустите Dr.Web for MSP Scanning Service, если ее не хватит, то Dr.Web CMS со всеми зависимыми.


Best regards, Zaets Kirill
Doctor Web, Ltd.

#32 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 02 Ноябрь 2017 - 12:16

Перезапустите Dr.Web for MSP Scanning Service, если ее не хватит, то Dr.Web CMS со всеми зависимыми.

 

Я перезапускал все службы, которые начинаются на Dr.Web, кроме Dr.Web Scanning Engine (Она не перезапускается). Не помогло. Рестартанул сервер целиком :)

 

Ночью перезапустил сервер. В заголовках стало X-MS-Exchange-Organization-SCL: 9
По прежнему, часть спама отрабатывается, часть - нет.



#33 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 02 Ноябрь 2017 - 12:21

Ночью перезапустил сервер. В заголовках стало X-MS-Exchange-Organization-SCL: 9
По прежнему, часть спама отрабатывается, часть - нет.

 

В письмах, которые не фильтруются, выставлен этот заголовок?



#34 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 02 Ноябрь 2017 - 12:34

В письмах, которые не фильтруются, выставлен этот заголовок?

 

Да. Вот пример.

Прикрепленные файлы:



#35 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 02 Ноябрь 2017 - 12:52

Вот ещё заметил, те письма которые НЕ перемещаются, они помечаются как прочитанные. А те, которые перемещаются - нет.

При любом клиенте (Outlook, Live Mail по IMAP, Outllok Web Access).



#36 Valentina Yugai

Valentina Yugai

    Poster

  • Dr.Web Staff
  • 1 084 Сообщений:

Отправлено 02 Ноябрь 2017 - 13:44

Возникла внезапная идея. Нигде на сервере не стоит фильтр с действием "отмечать как прочитанные"?

 

Я раньше сталкивалась с таким поведением, что если письмо отмечается как прочитанное, через остальные фильтры или действия оно может не проходить.



#37 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 02 Ноябрь 2017 - 13:52

Нигде на сервере не стоит фильтр с действием "отмечать как прочитанные"?

Не стоит. На уровне сервера всего 2 правила заданы. Могу их вообще отключить или удалить пока.



#38 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 03 Ноябрь 2017 - 13:10

По результатам прошедших суток нужно отметить, что после выполнения вот этой рекомендации (больше я ничего разумного не делал, разве что правила серверные удалил):
 

Выставите значение SCLJunkThreshold назад в "8", а в CMS консоли плагина в DrWebAgentStub_1.0 -> Application Settings  для параметра SCLTreshold выставите 9.

 
и презапуска сервера, количество неотработанного спама резко уменьшилось. На примере моего ящика: было около 40-50 спам-писем в день, из них корректно обрабатывалось около 5 шт. За прошедший день было порядка 35-40 спам писем, из них не обработалось только 2 штуки. Речь идет о письмах с корректно прописанным заголовком X-MS-Exchange-Organization-SCL . И пользователи подуспокоились немного, что не может не радовать. Однако, четкого срабатывания нет, напр. письмо Vade Secure не обрабатывается и попадает во Входящие, хотя X-MS-Exchange-Organization-SCL: 9 прописывается.
Т.е. проблема не ушла, но ее острота ощутимо снизилась. Всем огромное спасибо, особенно Kirill Zaets и Valentina Yugai, однако хочется таки решить вопрос окончательно.

По прежнему надеюсь на вашу помощь.



#39 Kirill Zaets

Kirill Zaets

    Member

  • Dr.Web Staff
  • 142 Сообщений:

Отправлено 03 Ноябрь 2017 - 13:15

rgb, тут надо смотреть на сам Exchange. Картина получается такая, что сервер по-разному реагирует на поле X-MS-Exchange-Organization-SCL: 9, что очень странно. Плагин при этом корректно отмечает письма на спам и выставляет соответствующее значение SCL.

Возможно, на поведение сервера влияют, еще какие-нибудь заголовки письма или где-то идет противоречие (наслаивание) настроек.

 

Попробуйте более детально изучить: https://technet.microsoft.com/ru-ru/library/868d7fd8-e817-46ba-9b67-edf2f50b9494(v=exchg.160)#EnableOrDisableJunkEmailRule


Сообщение было изменено Kirill Zaets: 03 Ноябрь 2017 - 13:23

Best regards, Zaets Kirill
Doctor Web, Ltd.

#40 rgb

rgb

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 08 Ноябрь 2017 - 10:12

Ничего неправильного в настройках не нашёл. Ещё поковыряюсь конечно, но не думаю, что это поможет.

Методом проб и ошибок выяснил, что категория Certainly spam обрабатывается корректно (стоит действие Mark with Move to junk) всегда. Для двух других категорий это действие не всегда срабатывает. Но переадресация работает корректно. Создал отдельный ящик и направил туда весь мусор из категорий Probably spam и Unlikely spam.
В итоге, хотя проблема до конца не решена, но её удалось обойти. В дальнейшем (как будет посвободнее со временем и ресурсами), думаю переустановить Exchange на другой машине и перенести туда всех пользователей, думаю там проблем не возникнет. Спасибо всем за помощь!




Читают тему: 2

0 пользователей, 2 гостей, 0 скрытых