Регистрация...

Eserv Forum / E3 / Eserv 3 Mail Server Support / Просачивание спама. Обучение не помогает.

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Добрый день, уважаемые Гуру "Eserv3"! У меня есть одна нерешенная проблема просачивания спама. Наверняка вразумите меня. Попытаюсь сформулировать проблему как можно подробнее:
У меня установлен "Eserv/3.4557". Наблюдая (последний год или около того) за этим явлением, пришел к выводу, что обучение POPFile-RC7 результатов не даст — не в нем видимо дело. Первое, на что обратил внимание – по почерку видно, что просачивающийся спам, дело рук одного и того же спамера. Исходя их этого, сделал вывод, что это возможно целенаправленный обход фильтра. Каким образом? Изыскал время и начал внимательно анализировать логии. Нашел одну закономерность.

1. Если письмо "не спам", то завершение приема письма в логах SMTP следующее:
… ;DATA
… ;354 send the mail data, end with .
… ;250 OK message accepted for delivery
… ;QUIT
… ;221 Goodbye.

При этом в логах "popfile_debug" записываются две строки типа:
…;SMTP;E:\Eserv3\DATA\mail\spool\info@advsoft.info!74124!1032280656!1.eml
…;SMTP;<?xml version="1.0" encoding="UTF-8"?><methodResponse><params><param><value><string>clear</string></value></param></params></methodResponse>

2. Если письмо "спам" и попало куда надо (в папку "spam"), то завершение приема письма в логах SMTP следующее:
…;DATA
…;354 send the mail data, end with .
…;550 Your message is classified as SPAM! If this an error, please click here: …

И все, нет ни QUIT, ни Goodbye. При этом в логах "popfile_debug" так же записываются две строки типа:
…;SMTP;E:\Eserv3\DATA\mail\spool\slated64@yandex.ru!90321!1184098109!1.eml
…;SMTP;<?xml version="1.0" encoding="UTF-8"?><methodResponse><params><param><value><string>spam</string></value></param></params></methodResponse>

3. Если письмо "спам" но попало куда не надо (в папку "входящие"), то завершение приема письма в логах SMTP следующее:
…;DATA
…;354 send the mail data, end with .
…;250 OK message accepted for delivery

И далее больше ничего! При этом в логах "popfile_debug" так же нет никаких записей относящихся к этому письму. Как будто и письма этого не было.

Вот такая картина. Такое впечатление, что Eserv3 чего-то ждет во время приема письма от той стороны (или от POPFile) и, не дождавшись (по таймауту) закрывает сессию. При этом письмо проваливается в папку "входящие". Может быть это моя мнительность и никакого криминала в этом нет? А эти зависания происходят по неисправности моего хозяйства?
 
Комментарии к этой версии (27.08.2009 09:16) [~Guslik] 12245cae
АвторДатаТекстtags
pig27.08.2009 18:24
Посмотрите в acSMTP.log — там никаких ошибок не видно?
По приведённым цитатам трудно понять, что происходит, надо видеть сессию целиком.

P.S. 3.4557 — это, наверное, версия.сборка acSMTP.exe. Мало что говорит. Интересует, какую именно конфигурацию устанавливали. Судя по цитатам из логов — стандартную. Остаётся вызнать, из какого дистрибутива.
imported
Guslik28.08.2009 09:52
Установлен последний, выставленный на сайте Eserv+Eproxy v3.35 от 27.02.2009г. Тем более, я переселялся на другое железо и скачивал дистрибутив для установки заново, в начале августа.
В acSMTP.log ошибок вообще никаких нет.

Сессия целиком мной и выбиралась для анализа из всего лога. И не одна. Вот одна из них:

2009-08-26 15:18:07;93.136.103.139;@domain.ru;220 domain.ru Eserv/3.4557 ESMTP. Wed, 26 Aug 2009 15:18:07 +0400 2009-08-26 15:18:08;93.136.103.139;@domain.ru;EHLO 93-136-103-139.adsl.net.t-com.hr 2009-08-26 15:18:08;93.136.103.139;@domain.ru;250-domain.ru Hello [93.136.103.139] 2009-08-26 15:18:08;93.136.103.139;@domain.ru;MAIL FROM: <iordnancec@mail.clay.k12.fl.us> 2009-08-26 15:18:28;93.136.103.139;@domain.ru;250 iordnancec@mail.clay.k12.fl.us OK 2009-08-26 15:18:28;93.136.103.139;@domain.ru;RCPT TO: <oaf@domain.ru> 2009-08-26 15:18:36;93.136.103.139;@;250 oaf@domain.ru OK, my domain, user oaf exists 2009-08-26 15:18:36;93.136.103.139;@;RCPT TO: <post@domain.ru> 2009-08-26 15:19:13;93.136.103.139;@;250 post@domain.ru OK, my domain, user post exists 2009-08-26 15:19:13;93.136.103.139;@;RCPT TO: <postmaster@domain.ru> 2009-08-26 15:19:22;93.136.103.139;@;250 postmaster@domain.ru OK, my domain, user postmaster exists 2009-08-26 15:19:22;93.136.103.139;@;RCPT TO: <prokhorovagg@domain.ru> 2009-08-26 15:19:50;93.136.103.139;@;250 prokhorovagg@domain.ru OK, my domain, user prokhorovagg exists 2009-08-26 15:19:50;93.136.103.139;@;RCPT TO: <reception-2@domain.ru> 2009-08-26 15:20:21;93.136.103.139;@;250 reception-2@domain.ru OK, my domain, user reception-2 exists 2009-08-26 15:20:21;93.136.103.139;@;RCPT TO: <streltsovaa@domain.ru> 2009-08-26 15:20:45;93.136.103.139;@;250 streltsovaa@domain.ru OK, my domain, user streltsovaa exists 2009-08-26 15:20:45;93.136.103.139;@;RCPT TO: <uljyakhinatv@domain.ru> 2009-08-26 15:20:45;93.136.103.139;@;250 uljyakhinatv@domain.ru OK, my domain, user uljyakhinatv exists 2009-08-26 15:20:45;93.136.103.139;@;RCPT TO: <zhukovaiv@domain.ru> 2009-08-26 15:21:29;93.136.103.139;@;250 zhukovaiv@domain.ru OK, my domain, user zhukovaiv exists 2009-08-26 15:21:29;93.136.103.139;@;RCPT TO: <nikulinajm@domain.ru> 2009-08-26 15:21:45;93.136.103.139;@;250 nikulinajm@domain.ru OK, my domain, user nikulinajm exists 2009-08-26 15:21:45;93.136.103.139;@;DATA 2009-08-26 15:21:45;93.136.103.139;@;354 send the mail data, end with . 2009-08-26 15:21:45;93.136.103.139;@;250 OK message accepted for delivery
Более всего меня настораживает, что заканчивается прием письма, как-то не по "концовски". Скажите, а может это так и должно быть, что в случае классификации письма как спам, в протоколе обмена нет ни QUIT, ни Goodbye?
imported
Guslik28.08.2009 11:51
Стоп! Кажется, я догадываюсь, в чем может быть проблема. Я год назад начал использовать списки PopFileToWhiteList, с целью отлучить ряд пользователей от проверки их писем на спам. Причина банальна – от нежелания некоторых пользователей чистить папку "spam" (или от ощущения собственной важности), последняя разбухала до нескольких десятков тысяч писем. Поначалу, при реализации этого решения, все было отлично — папки "spam" указанных пользователей стали нулевыми. Но список PopFileToWhiteList все расширялся. И я стал замечать, что спам потихоньку начал просачиваться. Дольше – больше! И только сейчас, к своему стыду, анализируя лог, я обратил внимание, что спам идет списками. И, видимо, чем длиннее список, тем выше шанс, что в списке окажется хоть один из списка PopFileToWhiteList. И тогда все понятно – проверка на спам просто прерывается (возможно ли такое?) и по всему списку спам раскладывается во "Входящие"! Для проверки своего предположения, я очистил список PopFileToWhiteList. Жду результатов. Видимо это единственный случай, когда я злюсь на отсутствие спама!
imported
Dandy28.08.2009 12:12
Guslik пишет:
Более всего меня настораживает, что заканчивается прием письма, как-то не по "концовски". Скажите, а может это так и должно быть, что в случае классификации письма как спам, в протоколе обмена нет ни QUIT, ни Goodbye?

Думаю, здесь, как раз, волноваться не стоит. По спецификации протокола после получения отлупа 5xx на любую из команд (негативный отклик о постоянных проблемах) клиент имеет возможность продолжить сессию. В вашем же случаем, спам-бот получив отлуп, видать, просто "забывает" про сессию и она висит на сервере в ожидании тайм-аута (проверьте дальше пол логу записи того же потока)
imported
Guslik31.08.2009 16:20
Так оно и есть! Очистка списка PopFileToWhiteList возвратила эффективность PopFile на прежний уровень! А этот эксперимент ответил на вопрос – почему так происходит.

Остается ответить на вопрос – что с этим делать? Выходит списки PopFileToWhiteList использовать невозможно, так как спамеры одному единственному адресату в домене практически и не вкачивают ничего. По крайней мере, это я наблюдаю у себя.

Что скажут Гуру? Может быть есть какой-нибудь другой способ избежать такой массовой классификации? Или я что-то неправильно понял в логике настроек?
imported
Работает на Eserv/5.05567 (10.02.2020)