Перейти к содержанию

Антиспам пропускает письма от серверов в DNSBL


Рекомендуемые сообщения

Здравствуйте. 

Вчера наша организация подверглась спам-атаке (если так можно выразиться). Некоторые из наших сотрудников получили письмо одинакового содержания. Сами письма содержат только текст (просят денег за конфидициальные данные). В теме письма "Коммерческое предложение". Адреса отправителей разные. 

1.kaspersky anti-spam стоит на <S Exchange 2010  (Edge role).

2. В касперском настроено исопользование DNSBL:

2.thumb.JPG.dc20d71bcc811a8ca06b2103ca6572d4.JPG

3. Если проверить IP отправителя на DNSBL, то видно что адрес отсвечивает в черных списках:

1.thumb.JPG.07c5d6e9d40d084bb426eb2e9021caf5.JPG

4.В заголовке письма есть строки: 

X-KSE-AntiSpam-Info: {reputation ip: black}
X-KSE-AntiSpam-Info: {black address: 31.154.7.54}

т.е. касперский определил, что отправитель в черном списке. Точнее не отправитель, а сервер отправителя.

Но несмотря на все вышеперечисленное письмо таки дошло до получателя, хотя в моем понимании не должно было.

Вопрос: почему такое письмо пришло к получателю? Необходимо довключить какую-то опцию? Или это нештатное поведение?

 

Ссылка на комментарий
Поделиться на другие сайты

Если продукт «Лаборатории Касперского» не распознал спам-письмо или «чистое» письмо попало в спам, вы можете обратиться в Спам-лабораторию.
https://support.kaspersky.ru/common/diagnostics/10934

Ссылка на комментарий
Поделиться на другие сайты

51 минуту назад, posix86749 сказал:

Но несмотря на все вышеперечисленное письмо таки дошло до получателя, хотя в моем понимании не должно было.

Наличие отправителя в DNSBL не относит письмо автоматически к спаму.

Все зависит от конкретных настроек.

При каком спам-рейтинге у вас письмо считается спамом?

Какие действия у вас настроены для письма, определяемого как спам?

 

Вот пара ссылок по теме:

https://support.kaspersky.ru/11625

https://support.kaspersky.com/KS4Exchange/9.5/ru-RU/28871.htm

 

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, andrew75 сказал:

Наличие отправителя в DNSBL не относит письмо автоматически к спаму.

Все зависит от конкретных настроек.

При каком спам-рейтинге у вас письмо считается спамом?

Какие действия у вас настроены для письма, определяемого как спам?

 

Вот пара ссылок по теме:

https://support.kaspersky.ru/11625

https://support.kaspersky.com/KS4Exchange/9.5/ru-RU/28871.htm

 

Сейчас проверил, у меня чувствительность выставлена на высокий уровень, а спам-рейтинг проблемного письма всего 40. 

Вопрос: как настроить антиспам, что бы письма пришедшие с blacklisted серверов безусловно отклонялись? Я так понимаю, настройка на скриншоте ниже "не про это":

 

3.thumb.JPG.b639bfce9f4f72e1dba271afa0ed977c.JPG

Ну или как сделать так, что бы письмам с blacklisted серверов присваивался более высокий спам рейтинг?

Ссылка на комментарий
Поделиться на другие сайты

@posix86749, я правильно понимаю, что у вас Kaspersky Security для Microsoft Exchange Servers?

Почитайте онлайн справку, возможно найдете что-то полезное.

Что касается DNSBL, то там для каждого можно задать весовой коэффициент, насколько я понимаю. Поэкспериментируйте.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Fly13
      От Fly13
      Не очень добрый день)
       
      Есть несколько серверов на Винде. Некоторые утром показывают то, что на скрине.  Далее текст со скрина:
       
      contact email ukrhq@proton.me or dhelp@mailfence.com 
      send id
       
      Фактически на системных дисках и дисках с данными нет разделов, живая винда предлагает их форматировать. Есть предположение, что плохиши подключались по rdp и шифровали диски программой dcrypt.
       
      Прошу помощи, готов к тратам
       

    • Анди25
      От Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • foroven
      От foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • Valeriy_Chirchik
      От Valeriy_Chirchik
      В понедельник, 17.02.2025, все файлы на сервере зашифрованы.
      Прилагаю файлы сканирования и требование оплаты дешифрования...
      Очень надеюсь на Вашу помощь!!!
      Спасибо!!!Virus.rarFRST.txtAddition.txt
    • luzifi
      От luzifi
      windows server 2019 standart 1809  зашифровано все. помогите с решением проблемы
       
      log.rar innok.rar
×
×
  • Создать...