Exchange2003でディレクトリハーベスティングスパムを処理するための推奨事項
私たちのExchangeサーバーは、1日あたり450,000〜700,000のスパムメッセージで非難されています。同じ時間枠で約1700件の正当なメッセージを受信します。
スパムの約75%はディレクトリハーベスティングです。現在、GFIMailEssentialsがインストールされています。名誉なことに、それは非常に良い仕事をしていますが、私たちが受け取っているスパムの量と、Exchangeサーバーが確立している接続の数により、正当な電子メールがタイムリーに配信されていません。
GFIは、SMTPレベルでディレクトリハーベスティングをチェックするように設定されています。これは、メールがExchangeサービスに到達する前、またはSMSEを通過する前にメールを傍受すると推測されます。この「モジュール」はリストの一番上に並べられているので、(うまくいけば)ハーベスティングを処理することは最小限のサーバーリソースと帯域幅を消費します。
私の質問は、Exchangeサーバーの接続プールがこれらのスパムホストによって使い果たされるのを防ぐためにできることはありますか? Exchangeがすべての帯域幅を消費していたため、Exchangeによって作成される同時接続の数を制限する必要がありました。
前もって感謝します。
受信者フィルタリングとSMTPタールピッチングを組み合わせて使用します。これについては、ここで詳しく説明しています。
http://www.exchangeinbox.com/article.aspx?i=49
要約すると、Exchangeは存在しないアドレスへの接続を拒否します。ただし、これにより、スパムハーベスターはサーバーに対して多数のアドレスをすばやくチェックできます。
Tar-pittingを有効にすると、サーバーからの応答に遅延が追加され、ハーベスターがサーバーに接続する量が減ります。
追加のホストを設定する機能がある場合[仮想マシンにすることができます]-受信者アドレスに基づいてメールをフィルタリングできるpostfix [またはeximまたはその他のLinuxSMTPリレー]を入手することをお勧めします。
私はあなたと同じようなケースを持っていました、交換の負荷は劇的に減少しました:
- 会社のドメインに対してのみアドバタイズされたMXとしてpostfixサーバーを設定する
- 定期的に[1時間に1回] LDAP経由でActiveDirectoryからすべてのメールアドレスを取得する単純なphpスクリプトに基づいて、許可されたメールアドレスのホワイトリストを再作成します
また、完全に[まだオープンソースの]スパム対策を探している場合は、 esva を見てください。接尾辞といくつかのコンテンツフィルターに基づいて、vmware用のアプライアンスを使用する準備ができています。彼らのフォーラムでは、ADからユーザーのホワイトリストを取得する方法の説明を見つけることができます。彼らのフォーラムは半死に見えるかもしれませんし、作者は最も活発なものではありません-しかし、ソリューション全体は本当に洗練されており、いくつかの展開で私にとって素晴らしい働きをします。
絶対に、サーバーに到達する前にメールをフィルタリングするためにサードパーティを検討する必要があります。これは、私がMXLogicやGoogleのPostiniで良い経験をしたsmearpの回答に記載されているものに加えてです。私は個人的にMXLogicを好みました。追加の利点は、サードパーティからのSMTP接続のみを受け入れるようにExchange Edgeサーバーを設定できることです。これにより、サーバーの負荷と帯域幅が大幅に削減されます。
私はもうスパムについてほとんど考えていません。
また、スパムフィルタリングをサードパーティにオフロードする可能性もあります。サードパーティは、ネットワークに到達する前に、そのトラフィックとスパムのほとんどをフィルタリングします。このサービスの3つの良いオプションは次のとおりです。
http://www.Microsoft.com/online/exchange-hosted-services/filtering.mspx
私はサードパーティのスパムフィルタリングの意見を3番目にしています。私たちは本当に好きです: http://www.mxlogic.com/ スパムをGFIよりもはるかにうまく除去し、サーバーリソースを使用せず、電子メールサーバーをより安全にします(Leroyclarkの提案に従ってください)。 Exchangeサーバーのクラッシュに関するライセンスの問題は発生しません。
これは元の投稿が上がったときからの道のりであると私は知っていますが、Mailcleanerに関してJohnGardeniersに同意する必要があります。
私はMailcleanerを約4年間使用しています。初版は変更に対してそれほど柔軟ではありませんでしたが、とにかくかなり堅実でした。 1年ほど前に、Mailcleanerをゼロから完全に書き直したMailcleaner2010を手に入れました。 Mailcleanerの2006年版はDebianv4ベースのエンジンで構築されていましたが、私が誤解しない限り、新しい2010リリースはUbuntuサーバーに基づいています。古いビルドは壊れがちでしたが、新しいビルドは非常に堅固で機能が充実しているため、内部的な変更を行う必要性を感じていません。
現状では、Mailcleaner 2010は、私がBarracuda Anti-spam/anti-virusFirewallのこちら側で使用した中で最も堅実でクリーンなアンチスパムソリューションです。私の仕事では、1日あたり約3,000万通の電子メールを処理するように設計されたBarracudaM600アプライアンスを使用しています。私たちは平均して1日に約30万通の電子メールを受信し、その約7%から10%が実際の正当な電子メールです。バラクーダでは、検疫を使用しています(私は嫌いですが、経営陣は主張しています)。私の個人ドメインでは、VMWareESXiでホストされる仮想サーバーとして構成されたMailcleaner2010を使用しており、疑わしいスパムのタグ付けと組み合わせたLDAPアドレス検証用にMailcleanerを構成しています。タグ付けされたすべてのスパムは、Exchange Server(2003)のユーザーの「迷惑メール」フォルダーに自動的に配信されます。このフォルダーは、30日後にタグ付けされたメッセージを自動的に期限切れにします。これにより、Mailcleaner Anti-spamゲートウェイのフットプリントが非常に小さくなり、タグ付き電子メールの自動有効期限が切れることで、ExchangeServerがスパムで溢れるのを防ぎます。誤検知率は非常に低く、タグ付けを使用しているため、メッセージが誤検知を受信した場合でも、責任を持ってメールをチェックインする限り、そのメールを失うことを心配する必要はありません...これ私の常連ユーザー全員がそうしています。
とにかく、バラクーダのスパム対策システムを使用したことで、アプライアンスの購入に資金を提供する企業/政府レベルの予算がないため、自分のドメインの代替案について非常に慎重な期待を抱いていました。すべてを考慮すると、Mailcleaner 2010よりも優れたソリューションを見つけるのは、バラクーダから多くの影響を受けているように見えるため、せいぜい困難でしたが、バラクーダのファームウェアを直接盗んだわけではありません。同時に、バラクーダよりもセットアップがはるかに簡単です。
私が現在の仕事を始めたとき、私の雇用主はGFIのスパム対策エンジン(v10?)を使用していました。 GFIがブラックリストをどのように処理したかにより、GFIから深刻な問題が発生しました。私は調査を行い、バラクーダM600を採点しました。バラクーダは、CIDRアドレスによるブラックリストの作成や、他の多くのスキャン手法が機能するため、優れたソリューションです非常にうまく機能します。これまでのところ、私がバラクーダで遭遇した唯一の問題は、スパムとの戦いにあまり経験のない人々によって入力された悪いルールによる誤検知に関するものです。私が実行しているMailcleaner2010仮想アプライアンスは、ほぼ完璧なソリューションを実現するために必要な対話がはるかに少なくて済みます。
機会があればぜひチェックしてみてください。よかったと思います。 :)
共有してお楽しみください!
Exchangeサーバーに到達するメールを制限するためにできることはすべて完了しているようです。次のステップは、GFIに到達する前にスパムをブロックできる共通の要因を見つけることです。ボックス。 (つまり、DDoS攻撃のように扱う)
トラフィックがほんの一握りのホストから来ている場合、ボーダールーターでそれらのIPを回避することは可能でしょうか? ISPは、この種の攻撃を喜んで手伝ってくれることもあります。ISPに連絡して、不正なトラフィックを識別してドロップできるかどうかを確認する価値があるかもしれません。
ダクトテープの解決策の1つは、プライマリMXレコードを無効なものにし、セカンダリMXレコードを有効なものにすることです。ほとんどのスパムボットは代替MXレコードを試すのに時間を無駄にしませんが、正当なメールは届きます...欠点は、誤って構成されたMTAからメールを失うリスクがわずかにあることです。
私はあなたが考慮したいと思うかもしれないいくつかのことを考えることができます。 1つ目は、ログを監視し、スパム送信元ホストのリストをまとめて(ディレクトリハーベスティングでブルートフォース攻撃を行う妥当な数があると想定)、ファイアウォールでそれらをブロックすることです。
より包括的ですが、より複雑な解決策は、最初のスパム処理を電子メールゲートウェイサーバーでオフロードすることです。これは私たちが前の仕事でしたことです。 Postfixを実行するLinuxボックスと、追加ツール(spamassassin、clamav、greylistingデーモン、amavisdなど)のコレクション、およびいくつかのカスタムのものを構築しました。次に、それをExchangeクラスターの前に配置し、すべての電子メールを(ネットワークの内外に)ルーティングしました。
これにより、接続のレート制限、スパムソースのブロック、ホワイトリストとブラックリストの設定を行うための柔軟性が大幅に向上します。 大幅にユーザーが受信するスパムの量を減らし、Exchangeボックスの負荷を減らすことができました。
更新:言及するのを忘れましたが、そこに利用可能なスパム対策ゲートウェイアプライアンスもいくつかあります。ボックスを購入し、Webインターフェイス(通常)から構成して、ネットワークに接続するだけです。 ExchangeとDNSのいくつかの調整(電子メールが通過するように)と、それはあなたのためにすべてのアンチスパムの重労働を処理します。
MailEssentialsはSMTPのイベントシンクレベルで機能するため、メッセージを実際にサーバーに接触させることなく、存在しない電子メールアドレスの接続を確実に正常にドロップします(これをリストの一番上にプッシュしている限り)。あなたがあなたの箱でできることは他にあまりありません-これはあなたが見ているかなり驚異的な量のディレクトリ収集活動です、そしてあなたの次のステップはあなたがに絞り込むことができるかどうか見るためにあなたのISPと協力するべきであることに同意しますこの大部分を送信し、それらをブロックしているいくつかのIPまたはIPのセット。
予備のマシンがある場合、たとえかなり低スペックのPCであっても、 MailCleaner をインストールすることを検討してください。これにより、受信メールのスパム対策とウイルス対策スキャンが提供されます。これはLinuxベースですが、セットアップして実行するためにLinuxに精通している必要はありません。スパム対策データベースを「トレーニング」しなくても、フィルタリングの結果は優れており、Webインターフェイスにより日常のタスクが簡単になります。必要に応じてサポートフォーラムもあります。
サードパーティのフィルタリングサービスを見る場合は、 http://www.safentrix.com も見てください。その性能を試すことができます。
役立つ可能性のある機能の1つは、検疫の欠如(したがって、ほぼゼロのメンテナンス)です。
また、サードパーティのスパム対策およびゼロアワーアンチウイルスであるAlteaMailProtection用の新しいソリューションwww.altea.caを使用することもできます。