Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Connect » SPAM, whitelist, domény zákazníků (Automatické řešení domén zákazníků)
  •  
leonell je nyní offline leonell

Příspěvky: 7
Odeslat poštu tomuto uživateli
Dobrý den,
můj dotaz se týká padání zákaznických mailů do složky s nevyžádanou poštou.

Kerio Connect 9.1.1 (1433) Windows Server 2012 R2, x86_64, aktivní "Kerio anti-spam"

Pravidelně přidáváme na základě požadavku obchodníků nové domény do "whitelistu" v administraci Kerio (Filtr spamu, Vlastní pravidla), většinou po nějakém průšvihu, kdy zákazník pošle objednávku nebo třeba reklamaci a nikdo na ni nereaguje. Někdy je důvodem umístění jejich mail serveru na blacklistu, jindy nešťastná kombinace slov či tak. Každopádně je to krajně nežádoucí a v podstatě to skončilo doporučením, že máme přidat všechny zákaznické domény na mailserver a to hned, jak započne komunikace firmy s nimi.

Dotazů mám několik, dovolím si je uvést:
1) reaguje Kerio Connect a jeho Anti-SPAM systém na přesun pošty z nevyžádané? Klientské aplikace jsou převážně EmClient připojené přes IMAP. Ono v tu chvíli už je stejně pozdě a náš problém to neřeší, ale zajímalo by mně to pro jiné případy.

2) je nějak v AntiSPAMu zohledněno ("whitelistováno"), že doména (či celá adresa) je uvedena v adresáři Kerio? Pokud by tomu tak bylo, tak můžeme generovat adresáře z IS do Kerio a šlo by o elegantní postup.

3) existuje nějaká možnost jak přidávat automaticky domény (ty získáme z CRM z IS) do Kerio nastavení? Koukal jsem, že je to v mailserver.cfg a šlo by to (asi) vygenerovat, ale nějaký méně rizikový postup (kromě ruční editace) není ?

4) napadá někoho nějaké jiné elegantnější řešení?

O riziku zvýšení spamu víme a jsme ochotni jej podstoupit výměnou za absenci velmi nešťastných problémů se zákazníky.

Děkuji.
  •  
BoBik je nyní offline BoBik

Příspěvky: 406
Odeslat poštu tomuto uživateli
Elegantnější řešení mě napadá. Surprised)

A to poladit nastavení antispamu. V první řadě se vykašli na blacklisty. V době, kdy jsou blacklistovány IP adresy Googlu přestává mít tato technologie smysl. Dále polaď tresholdy pro vyhodnocení je spam/není spam a další antispamové volby.

IMHO to dokážeš vyladit, možná za cenu mírného nárůstu spamu v mailboxech.

Když to nepůjde, pak otestuj nějaký jiný antispam, který předřadíš Keriu.
  •  
Radek Sip (KERIO)

Příspěvky: 27
Odeslat poštu tomuto uživateli
Mohu Vám doporučit několik tipů za několik let administrace:
- zlaté pravidlo: nikdy v žádné antispam technologii neblokujte, vždy jen dávejte trestné body (při označení jako spam od 5 bodů doporučuji dávat 1-4 body za test).
- Za blacklisty dávám 1-2 body. Je snadné se na ně dostat. Nešika admin se může dostat na jeden, ale opravdoví spameři bývají na více blacklistech. Blokování je nebezpečné. Raději dát pár bodů než hned unáhleně blokovat.
- jakmile se objeví nějaká spamerská kampaň, např. falešné exekuce, nebo různé české kampaně typu "ochlaď se rozprašovací bránou", "samonavíjecí zahradní hadice" apod., tak vytvářím speciální pravidla na předmět, či si zjistím čím jsou e-maily specifické a vytvořím pravidlo. Podle From: to nedává moc smysl, to se dá změnit, předmět mailu občas funguje. Je lepší se podívat do těla zprávy a zkusit najít unikátní řetězec, např. unsubscribe link nebo blokovat podle Received, ty se tak jednoduše a per mail nemění Smile
- Pokud mám vlastní pravidla na předmět, dávám vždy trestné body 1-4, podle toho jak moc je velká pravděpodobnost že jde o spam. Např. za znak dolaru dávám 1, za money už 2 body, za lottery 3 apod.
- vždy se snažím aby trestné body za žádnou technologii nepřekročily samostatně limit který mám nastavený na označení spamu (5). Tj. pokud by jedna věc "selhala" (nešikovný předmět, odesílatel se dostal na blacklist apod.), zpráva by se neměla označit ani jako spam. Až teprve při kombinaci více nálezů.
- pokud se sejde dost bodů ze všech testů (10), mail se blokne.

Statistiky mi vychází tak že na 1000 spojení na SMTP přijde cca 100 mailů, z nich je 50 normálních emailů, 3 maily se označí jako možný spam (získají 5-10 bodů) a zbytek na testech vyhučí a smaže se. Nestalo se že by byl nějaký legitimní mail smazán.

[Aktualizováno: Pá, 16 září 2016 08:54]

  •  
leonell je nyní offline leonell

Příspěvky: 7
Odeslat poštu tomuto uživateli
Díky, ale my maily neblokujeme. Kerio, resp Antispam jim přiřadí příznak SPAMu a pak klient to šoupne do složky s nevyžádanou poštou. Tam si toho obchodník nevšimne, zákazník chvíli čeká a pak pošle stížnost (už radši ve formě telefonu ). Mohu zvýšit hodnocení spamu, takže toho do spamu bude padat méně, ale to neřeší situaci, protože se naopak výrazně zvýší poměr nezachyceného spamu.
Řešením je jednoznačně whitelist, ať už v té "drsné" formě že "doména XY.CZ se noekontroluje", po méně drsnou variantu že "doména XY.CZ sníží index o 5 bodů".
Přivedli jste mne na jinou myšlenku - máme přímo v SpamAssasinu filtry na lepší chytání podle klíčových slov (spamserver/spamassasin/rules/*.cf). Tam by asi šlo skore "whitelistovat", dávat záporné, pokud doména je XY.CZ. A zároveň by to CF šlo generovat automaticky a s rozhodně menším rizikem než dělat totéž u hlavní konfigurace. Jdu zkoušet Smile

Díky za tipy.
  •  
Radek Sip (KERIO)

Příspěvky: 27
Odeslat poštu tomuto uživateli
Možná ještě zkusit ve filtrech záporné body či přímo propuštění ("není spam") pro maily kde je předmět s obsahem řetězců typu "objednáv", "zakázk" "dotaz", "poptáv", "faktur"... U mě to funguje, YMMV Smile

Update: když se dívám do využití uvedených filtrů, občas zabere i verze bez diakritiky, takže udělat jak "objednáv", tak "objednav" atd.

[Aktualizováno: Pá, 16 září 2016 10:31]

  •  
Milhouse je nyní offline Milhouse

Příspěvky: 1
Odeslat poštu tomuto uživateli
Dobrý den,
filtr spamu řeší odmítnutí mailu z IP adresy evidované na internetových blacklistech. Z jedné hodně "profláknuté" adresy došlo k přihlášení prolomeným heslem k SMTP a odeslání spamu. Je možné nějak využít internetové databáze spamerů k zabránění odeslání pošty?
Miloš

16/Oct/2016 14:43:37] Recv: Queue-ID: 580375f8-00005574, Service: SMTP, From: <p.sliwka@xxx.xx, To: <infobig@myglobalink.info>, Size: 912, Sender-Host: Cablemodem-200.59.117-194.madryn.sinectis.com.ar, User: p.sliwka@xxx.xx, SSL: yes, Subject: hi, Msg-Id: <5803840F.DF439603<at>xxx.xx>
[16/Oct/2016 14:43:38] Sent: Queue-ID: 580375f8-00005574, Recipient: <infobig@myglobalink.info>, Result: delayed, Status: 4.4.1 421 Too many concurrent SMTP connections; please try again later., Remote-Host: myglobalink.info, Msg-Id: <5803840F.DF439603<at>xxx.xx>
  •  
Radek Sip (KERIO)

Příspěvky: 27
Odeslat poštu tomuto uživateli
Myslím, že si kladete špatnou otázku. Ta správná otázka dle mého soudu je "Jak je možné, že došlo k prolomení hesla k účtu, a co mohu udělat proto aby se to už nestalo."

Je třeba řešit příčinu, nikoli následek.
S "prolomením hesla" jsem se setkal jen jednou a příčina nebyla ani tak v jednoduchosti hesla, ale že uživatel tuto emailovou adresu a stejné heslo použil pro registraci na nějakém fóru. Fórum bylo napadeno a útočníci vyzkoušeli loginy uživatelů i na jejich domovských poštovních serverech.
  •  
Radek Sip (KERIO)

Příspěvky: 27
Odeslat poštu tomuto uživateli
Jako obrana bylo použito nejen vynutit komplexnost hesla a jeho expiraci, ale také aby uživatelé mohli registrovat pro tyto účely e-mailovou adresu odlišnou od jejich primárního loginu, tj. dát jim pro ty účely nějaký alias či sekundární e-mailovou adresu. A v logách je to sem tam vidět, že útočníci zkouší loginy na sice existující e-mailové adresy použité v externích službách, ale neplatné jako primární (login).

Dále omezit přístup na služby, např. SMTP (25) používat opravdu jen pro příjem příchozí pošty bez ověření, ale pro odesílání pošty od uživatelů používat SMTP Submission (587) apod. Nepoužívané protokoly vypnout.
Předchozí téma: Kerioc Connect 9.1. - transakcni cas
Další téma: Outlook problém plánování schůzek
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Ne bře 26 16:52:09 CEST 2017

Celkový čas potřebný k vygenerování této stránky: 0.00988 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.