kerio-rus.ru - Эффективная борьба со спамом. ORF-filter.

Всем, кого замучал спам и кого по каким то причинам не устраивают стандартные средства борьбы встроенные в почтовые сервера - посвящается....
Очень многие используют GFI Mail Essential как спам-фильтр, я тоже его использовал, в принципе устраивало, но в последнее время спам как с цепи сорвался, GFI отлавливал конечно много вредных писем, но и пропускать стал очень много, и тут я решил попробовать ORF EE...
Попробовал и понял что это превосходная вещь, которую просто необходимо использовать если вы в принципе собираетесь бороться со спамом, все остальные метода борьбы и антиспам-модули - баловство, а тут простота и невероятная эффективность....в общем полный восторг.

Итак начнем! 

Требуется:
- Шлюз (ISA, Kerio) с двумя интерфейсами - 1шт.
- Почтовый сервер (msExchange, MDaemon, KMS) - 1шт.

Итак, начнем:
1. Настройки интерфейсов на шлюзовой машине:

1.1 Внешний интерфейс:

1.2 Внутренний интерфейс:

1.3 Привязки интерфейсов:

Локальный интерфейс ставим первым в списке:

2. Устанавливаем службу SMTP (майкросовтовская стандартная служба)
панель управления\установка и удаление программ\компоненты Windows, выбираем "сервер приложений" и выбираем службу SMTP:

Наблюдаем как служба устанавливается:

3. Переходим к настройкам службы SMTP. Открываем оснастку "управление компьютером" и лезем в свойства нашего SMTP сервера:

3.1 Указываем IP-адрес на котором будет работать служба SMTP - ВНУТРЕННИЙ вашего шлюза (в моём случае это 192.168.0.1:

3.2 На закладке "доступ" в параметрах ретрансляции - указываем IP-адреса, которым разрешена трансляция почты черех этот SMTP-сервер, вводим IP-адрес ВАШЕГО почтаря (msExchange, MDaemon, KMS), в моём случае у почтового сервера IP-192.168.0.254:

3.3 На закладке "сообщения" устанавливаем требуемые параметры размера сообщений и количества, так же моно указать свой адрес, что бы на него приходили отчёты о недоставке (NDR), это может пригодиться при отладке системы:

3.4 На закладке "доставка" устанавливаем параметры доставки, сколько минут между попытками отправки письма должен подождать сервер и тому подобное:

3.5 Нажав кнопочку "дополнительно" на закладке "доставка" - указываем имя, которвм должен будетп редставляться наш SMTP-сервер (это имя должно быть зарегистрировано и соответствовать либо А-записи ДНС, либо МХ-записи):

4. Настройка домена. Сервер microsoft SMTP установлен и настроен, начинаем настраивать обслуживаемый домен
Правой клавишей жмакаем на "домены", добавть новый домен и следуем дальше инструкции:

Указываем имя нашего почтового домена, то есть ВАШЕГО почтового домена:

Настраиваем свойства ВАШЕГО только что устаноленного почтового домена:

На закладке "общие" - ставим галку "разрешить передачу входящей почты в данный домен" - это что бы почта принималась из интернета, в поле "маршрутный домен" - указываем имя вашего почтового сервера (внцтреннее DNS-имя машины на которой стоит почтовый сервер сети):

5. Переходим к самому главному - АНТИСПАМ
Берём дистрибутив ORF EE, устанавливаем его (в общем то никаких тонкостей при установке - нет, всё по дефолту оставляем, тупо тыкаем "NEXT" в ходе установки и дожидаемся конца операции.
После того как антиспамовый модуль установлен - на рабочем столе появятся три иконки, выбираем "консоли администрирования" и запускаем.
Фильтр после установки - не работает, он требует предварительной настройки перед своей работой:

5.1 Привязываем ORF EE к нашему свежеустановленному и настроенному SMTP-серверу:

5.2 Указываем ДНС сервер который будет использовать ORF для своей работы (я указал свой доменный ДНС, но можно использовать и провайдерский, главное что бы ДНС-сервер отвечал требованиями, для этого внизу надо нажать TEST и дождаться результатов):

5.3 Указываем в Intermediate gosts - IP-адрес своего почтового сервера (msExchange, MDaemon, KMS):

5.4 Активируем необходимые тесты.
Если у вас используется msExchange как почтовый сервер - то нужно включить проверку в AD, при этом проверяется существование в организации почтового адреса, на который шлётся письмо, и в случае если такого адреса нет - письмо отбивается (в противном случае его примет эксчендж и начнет слать NDR возможно на несуществующий адрес и у вас вырастет очередь и будет лишняя нагрузка на эксчендж и сервер в целом).
Все остальные тесты можно использовать независимо есть AD или нету...
Каждый тест может работать в трёх режимах - "до приёма", "после приёма" и "оба" метода... я большинство тестов заставил выполняться до приёма почты, то есть что бы спам отсекался моментально и не генерировался бесполезный трафик:


Отдельное внимание хотелось бы уделить функции
Auto sender whitelish.
в этот белый список попадают те адреса, на которые шлются письма с локальных адресов, то есть если тёта валя из бухгалтерии послала письмо на адрес Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. - предполагается ( да и здравый смысл подсказывает) что этот ящик существует и письма с этого адреса - ожидаемы и следовательно НЕ спам, поэтому почта, принимаемая с адресов находящихся в этом списке - исключается из дольнейших проверок...
Просто для интереса я попробовал послать письмо со своего домашнего адреса (который заведомо находится в списке Auto sender whitelist) на несуществующий адрес в свойей организации Exchange - письмо не было отбито антиспамом. Это объясняется тоже весьма просто - если вы ведёте переписку с конкретным человеком наделённым конкретным почтовым адресом - вам (соответственно из разумного смысла) не придёт в голову слать письмао неизвестно кому из того же домена.
Это свойство с одной стороны является конечно не совсем корректным, а с другой стороны оно разгружает службу излишними проверками, что лишний раз убедило меня в мысли о том что фильтр сделан исключительно сбалансированной по эффективности и здравому смыслу системой.
(можете считать это рекламой)

5.5 Настраиваем выбранные тесты. Выбираем базы DNSBL, которые будет использовать фильтр при проверке входящих SMTP-сессий:

5.6 Устанавливаем параметры TARPIT-задержки. Я поставил 20 секунд, но по идее хватает и 5, спам отшибается при 5-ти секундной задержке более чем на 90% :

5.7 Greylisting.
На мой взгляд - наиболее эффективное средство используемое в ORF EE (кстати в MDaemon тоже есть грейлистинг и вы его зря не включаете).
Для начала очень кратко как работает грейлистинг: вам кто то написал письмо, его почтовый сервер стучится на на ВАШ, при этом система грейлистинга не находит адрес отсылающего сервера у себя в базе и даёт "отлуп" и записывает этот сервер в свою базу, отправляющий сервер помещает письмо в очередь для повторной отправки и через некоторое время (обычно час по умолчанию или 15 минут) сервер пытается вторично отослать письмо. Вот со второй попытки система грейлистинга находит отправляющий сервер у себя в базе и пропускает письмо.
Неудобно? задержки? ну да, мы же со спамом боремся, придётся чем то пожертвовать ради спокойного обмена почтовыми сообщениями...
В общем вся идея грейлистинга состоит в том, что спамеры не повторяют отправку своих писем после неудачной доставки, а номральные сервера - всегда повторяют (вообще на протяжении нескольких дней будут пытаться передать письмо) отправку, и поэтому грейлистинг является на данный момент наиболее эффективным способом отсеивания нежелательной корреспонденции.

настраиваем время "отлупа" - 600 секунд (10 минут), так сделал я , вы можете устанавливать временной интервал который нужен ВАМ, тут в общем то по желанию, главное что б разумному смыслу не противоречило
указываем время жизни записи - 24 часа (по умолчанию), это сколько будет храниться в базе запись сервера, отправленного "грейлистингом" погулять 10 минут....
так же можно задать исключения - адреса получателей, отправителей и IP-адреса, которые не будут обрабатываться грейлистингом, но это вы сделаете при необходимосте позже сами:

5.8 Указываем что будет отвечать ваш фильтрующий SMTP-рилей, когда отправит чей то почтовый сервер погулять по "грейлистингу":

5.9 Сохраняем и обновляем конфигурацию:

5.10  Запускаем ORF-сервис:

5.11 Наблюдаем за статистикой.
Cumulative - статистика с момента первого запуска ORF-фильтра
Since Startup - статистика с момента последнего запуска фильтра:

6. осталась самая малость - настроить ВАШ почтовый сервер таким образом, что бы он слал почту не напрямую на сервера получателей (используя DNS) а направлял почту на рилей (в качестве рилея как вы уже догадались - указываете свой только что установленный и защищенный фильтром IIS SMTP). Зачем сделать так а не отправлять почту напрямую? Объясню: у ORF-фильра есть замечательный модуль Auto Sender WhiteList - то есть в "белый" свписок помещаются те адреса, на которые ваши любимые пользователи шлют письма, после письма принимаемые с этих адресов - исключаются из проверки фильтром, то есть приходят без какиз-либо задержек.
Поэтому настоятельно рекомендую настроить свой почтовый сервер на работу через рилей (ORF EE) и сделать массовую рассылку пользователям, пусть она САМИ напишут ВСЕМ своим корреспондентам письма, что бы эти адреса занеслись в базу Auto Sender WhiteList

ну вроде всё, успехов в борье со спамом!

PS
Эффективность данной системы фильтрации почты 98-100%, вы убедитесь в этом сами, когда увидите реал-тайм статистику в консоли управления фильтром + вы буквально сразу же заметите тот факт что больше СПАМ не валится в ваш почтовый ящик и почтовые ящики пользователей, посмотрите логи - вы придёте в ужас увидев сколько всякой заразы отшибается фильтром ещё только на подходе - по DNSBL, по проверке получателя в AD, по грейлистингу

 

(C) Kerio-rus.ru