Вопросы, связанные с установкой и использованием почтовых систем и корпоративных систем обмена данными (Exchange, MailDeamon, почтовые серверы на основе Linux и т.д.)
SLZ ответь пожалуйста поскольку ты говоришь что 8 тест будет не проходить из-за отсутствия включенного "фильра получателей" означает ли это что в моей компании всё же open relay и через мой сервак могут слать почту?
Дело в том что помимо плюсов "фильтра получателей" есть ещё и минусы, а у меня без него все неплохо работает...
означает ли это что в моей компании всё же open relay
[/quote]
Нет, open relay закрыт, но злоумышленники могут использовать механизмы NDR flood attacks, после чего сервак может попасть в blacklist-ы, под предлогом, что он open relay, т.к. с него будет рассылаться куча NDR.
Цитата
Дело в том что помимо плюсов "фильтра получателей" есть ещё и минусы, а у меня без него все неплохо работает...
[/quote]
Недостатком фильтрации получателей является то, что она повышает уязвимость системы к атакам, направленным на получение списка адресов электронной почты. Как правило, для реализации подобной атаки применяется словарь, содержащий наиболее распространенные имена, используемые в адресах электронной почты. На основании этих имен автоматически создается большое количество сообщений электронной почты, которые отправляются в атакуемый домен. Это делается для того, чтобы определить имена, которые используются в адресах электронной почты данного домена. В дальнейшем злоумышленник использует полученный список адресов для отправки нежелательных сообщений (спама) и выполнения других вредоносных действий.
Единственное утешение на:
Одновременное использование фильтрации получателей и режима замедления позволяет значительно увеличить время оповещения отправителя о том, что указан недействительный адрес электронной почты, и снизить эффективность подобной атаки.
Недостатком фильтрации получателей является то, что она повышает уязвимость системы к атакам, направленным на получение списка адресов электронной почты. Как правило, для реализации подобной атаки применяется словарь, содержащий наиболее распространенные имена, используемые в адресах электронной почты.
[/quote]
Это называется E-mail harvest attacks и SMTP tar pit с ней борется очень эффективно. Адреса легитимных пользователей могуть утечь, кучей других способов. Cами пользователи эму способствуют гораздо эффективнее, чем E-mail harvest attacks.
А теперь посчитаем сколько нужно времени, для получения списка пользователей, при 5 сек. задержки, при неправильно указанном адресе получателя?
Цитата
На основании этих имен автоматически создается большое количество сообщений электронной почты, которые отправляются в атакуемый домен.
[/quote]
А кто будет принимать это большое кол-во сообщений, настройки SMTP никто не отменял, а дефолтные - вообще неадекватные.
Цитата
В дальнейшем злоумышленник использует полученный список адресов для отправки нежелательных сообщений (спама) и выполнения других вредоносных действий.
[/quote]
А без Recipient Filter можно использовать вообще любые адреса и породить NDR flood такого масштаба, что твой сервер попадет в блэк листы.
А теперь сравни недостатки когда разрешен прием всех сообщений, без фильтрации пользователей.
1. Какой объем бесполезного входящего трафика?
2. Что будет происходить в случае отсутвия адресата в почтовой системе?
3. NDR flood attacks и ее последствия?
Я не зря приводил ссылку http://support.microsoft.com/kb/842851/ru, там все подробно расписано.
Так что Recipient Filter + SMTP tar pit - имеет гораздо меньше недостатков, чем его отсутсвие.
Каждый выбирает свой путь.
Стандартные (беспланые) средства Exchange 2003 малоэффективны и давно устарели, но их использование дает определенный эффект.
Цитата
Единственное утешение на:
Одновременное использование фильтрации получателей и режима замедления позволяет значительно увеличить время оповещения отправителя о том, что указан недействительный адрес электронной почты, и снизить эффективность подобной атаки.
[/quote]
Это не утешение, это основной функционал, данной технологии.
Так что, каждый воспринимает одну и туже информацию абсолютно перпендикулярно.
Недостатком фильтрации получателей является то, что она повышает уязвимость системы к атакам, направленным на получение списка адресов электронной почты. Как правило, для реализации подобной атаки применяется словарь, содержащий наиболее распространенные имена, используемые в адресах электронной почты.
[/quote]
Это называется E-mail harvest attacks и SMTP tar pit с ней борется очень эффективно. Адреса легитимных пользователей могуть утечь, кучей других способов. Cами пользователи эму способствуют гораздо эффективнее, чем E-mail harvest attacks.
А теперь посчитаем сколько нужно времени, для получения списка пользователей, при 5 сек. задержки, при неправильно указанном адресе получателя?
Цитата
На основании этих имен автоматически создается большое количество сообщений электронной почты, которые отправляются в атакуемый домен.
[/quote]
А кто будет принимать это большое кол-во сообщений, настройки SMTP никто не отменял, а дефолтные - вообще неадекватные.
Цитата
В дальнейшем злоумышленник использует полученный список адресов для отправки нежелательных сообщений (спама) и выполнения других вредоносных действий.
[/quote]
А без Recipient Filter можно использовать вообще любые адреса и породить NDR flood такого масштаба, что твой сервер попадет в блэк листы.
А теперь сравни недостатки когда разрешен прием всех сообщений, без фильтрации пользователей.
1. Какой объем бесполезного входящего трафика?
2. Что будет происходить в случае отсутвия адресата в почтовой системе?
3. NDR flood attacks и ее последствия?
Я не зря приводил ссылку http://support.microsoft.com/kb/842851/ru, там все подробно расписано.
Так что Recipient Filter + SMTP tar pit - имеет гораздо меньше недостатков, чем его отсутсвие.
Каждый выбирает свой путь.
Стандартные (беспланые) средства Exchange 2003 малоэффективны и давно устарели, но их использование дает определенный эффект.
Цитата
Единственное утешение на:
Одновременное использование фильтрации получателей и режима замедления позволяет значительно увеличить время оповещения отправителя о том, что указан недействительный адрес электронной почты, и снизить эффективность подобной атаки.
[/quote]
Это не утешение, это основной функционал, данной технологии.
Так что, каждый воспринимает одну и туже информацию абсолютно перпендикулярно.
[/quote]
На самом дле деле никогда так почтарь не ковырял по этому и перестрахвываюсь SLZ, так как ты всё сейчас популярно разложил по полочкам то я сейчас же займусь настройкой данной фичи.
Огромное спасибо за содействие!!!
Кстати забыл спросить какое время задержки порекомендуешь?
и Вот ещё что
если в организации регулярно выполняется обмен большим количеством SMTP-сообщений с другой организацией и если режим замедления снижает скорость обмена сообщениями, можно включить проверку подлинности для SMTP-сеансов обмена сообщениями с данной организацией
Где включается проверка подлинности? (сорри за глупый вопрос)
Сейчас настроил RF
снизу поставил галочку FR who are not in the directory
Затем включил фильтрацию получателей на Виртуальном сервере SMTP
Буду тестить...
Всё отлично после включения RF как иговорил SLZ все 17 тестов проходят успешно и тестер пишет6 Все тесты пройдены успешно.
Сервер не является публичным пересыльщиком почты.
Сейчас буду настраивать замедление SMTP
SLZ СПАСИБО ЗА ПОМОЩЬ!!!
Кстати забыл спросить какое время задержки порекомендуешь?
[/quote]
Достаточно дефолтного.
Цитата
если в организации регулярно выполняется обмен большим количеством SMTP-сообщений с другой организацией и если режим замедления снижает скорость обмена сообщениями,
[/quote]
SMTP Tar Pit не влияет на почтовые сообщения доставляемые легитимным пользователям, а выставляет задержку перед возвратом кода ошибки 5.x.x, для удаленной почтовой системы, пытающейся отправить сообщение несуществующему адресату.
Цитата
можно включить проверку подлинности для SMTP-сеансов обмена сообщениями с данной организацией
[/quote]
Можно, но не нужно, потому что для каждой организации, которая отправляет Вам почту, необходимо будет предоставить учетные данные (credentials) для аутентификации.
Ты знаешь я включил режим замедления задал время ожидания 5, службу SMTP перезапустил, только внешнего ничего не чувствуется, (это можно как-нибудь проверить получилось у меня замедление или нет), а стали проскакивать письма о том что якобы я куда-то отправлял письмо и такого адреса не существует, а я никому ничего не отправлял...
Спам фильтр стоит, в чём может быть трабл?
Кстати за инфу спасибо!
slz » 16 ноя 2007, 11:31 
