Подключение к Trend Micro Network Reputation Services

[Михаил Кондрашин 55]

Хочу отметить, что под ложными срабатываниями понимается ситуация, когда объективные причины для попадания в спам есть, но письмо спамом не является.

Нельзя ли подробнее, что за "объективные причины". Какой сервис использовался RBL+ или NASS?

rbl+

для меня объективные причины попадания в спам по причине наличия ip (отправителя или релея) в RBL+

Я считаю это объективной причиной потому что ВЫ утверждали, что ВАШ сервис не ошибается.

Со своей стороны хочу отметить, что уже было 5 ошибок, и что самое интересное все письма были затребованы т.е. велась переписка.

По нашему субъективному мнению эти письма классифицировать как спам нельзя.

В какую из баз RBL+ эти письма попали?

[broker 30]

как определить?

[broker 30]

мне дали xxxxxx.r.mail-abuse.com

как dns имя разбирается понятия не имею

[Михаил Орешин 70]

как определить?

Сюда вбейти IP адреса.

http://www.mail-abuse.com/cgi-bin/lookup

[Михаил Орешин 70]

Хочу отметить, что под ложными срабатываниями понимается ситуация, когда объективные причины для попадания в спам есть, но письмо спамом не является.

Нельзя ли подробнее, что за "объективные причины". Какой сервис использовался RBL+ или NASS?

rbl+

для меня объективные причины попадания в спам по причине наличия ip (отправителя или релея) в RBL+

Я считаю это объективной причиной потому что ВЫ утверждали, что ВАШ сервис не ошибается.

Со своей стороны хочу отметить, что уже было 5 ошибок, и что самое интересное все письма были затребованы т.е. велась переписка.

По нашему субъективному мнению эти письма классифицировать как спам нельзя.

"Не волки, а санитары леса". Все таки, скажите в какую базу попал IP адрес, и по какой причине, если она имеется.

[broker 30]

Мне коллеги из тренд-микро ответили

The first email shows:

194.67.57.82 in QIL database, not RBL+, so this didn't trigger it.

212.46.233.146 is in DUL database, part of RBL+

The second email shows:

63.175.176.236 not in any database

70.34.130.67 is in DUL database

The third email shows:

195.34.34.227 in QIL database, not RBL+, so this didn't trigger it.

62.118.147.114 is in DUL database

195.161.152.13 is in our RSS database, part of RBL+ service.

84.74.81.241 is in dul databse

Regards,

--

Rick Lowrey

Trend Micro, NSSG

tmnrsupport@trendmicro.com

clientsupport@mail-abuse.com

Теперь ответьте на вопрос:

Как не глядя делить письма?

[Михаил Кондрашин 55]

The first email shows:

212.46.233.146 is in DUL database, part of RBL+

70.34.130.67 is in DUL database

62.118.147.114 is in DUL database

195.161.152.13 is in our RSS database, part of RBL+ service.

84.74.81.241 is in dul databse

Кроме RSS, который использует сервер, являющийся (или являвшейся) открытым релеем, все остальные находятся в базе DUL --- это пулы провайдеров, то есть по идее, это должны быть попытки отправлять почту не через SMTP-сервер провайдера, а напрямую.

Для минимизации ущерба можно изменить код отлупа с 550 на 450, что приведет не к блокировке сообщения, а только отложит доставку.

[broker 30]

The first email shows:

212.46.233.146 is in DUL database, part of RBL+

70.34.130.67 is in DUL database

62.118.147.114 is in DUL database

195.161.152.13 is in our RSS database, part of RBL+ service.

84.74.81.241 is in dul databse

Кроме RSS, который использует сервер, являющийся (или являвшейся) открытым релеем, все остальные находятся в базе DUL --- это пулы провайдеров, то есть по идее, это должны быть попытки отправлять почту не через SMTP-сервер провайдера, а напрямую.

Для минимизации ущерба можно изменить код отлупа с 550 на 450, что приведет не к блокировке сообщения, а только отложит доставку.

о каком ущербе ВЫ говорите, ВЫ уже долго убеждали меня, что ошибки быть не может..!!!!!

Хотя Ваш ответ не так странен, как Ваших коллег из головного офиса, они порекомендовали проверять не все IP из ресивдов, а последний..

НУ ЭТО ЖЕ МЯГКО ГОВОРЯ СТРАННО

[Михаил Кондрашин 55]

о каком ущербе ВЫ говорите, ВЫ уже долго убеждали меня, что ошибки быть не может..!!!!!

Я не утверждал, что ошибок быть не может. Я утверждал, что RBL+ работает лучше, чем бесплатные RBL, так как за ним следят спецальные люди.

О каких "ошибках" идет речь? Если вы принимаете почту с сервера, который является открытым релеем, то он будет заблокирован по базе RSS, но если данное письмо не спам, то для вас это будет "ошибка".

Если адрес в базе DUL, то это пул адресов провайдера, с которых не должна приходить почта, но если у вас есть друг, который отправляет почту со своего Linux напрямую, то почта с его адреса будет ошибочно заблокирована.

Это не ошибки, а артефакты технологии.

[broker 30]

у меня в компании работает 1000 человек, мне всем надо объяснить то, что Вы написали.. про артефакты..

[Михаил Орешин 70]

у меня в компании работает 1000 человек, мне всем надо объяснить то, что Вы написали.. про артефакты..

А подскажите, почему коннект идет из пула провайдера ? Как то странно это :-///

[broker 30]

Дабы закрыть тему..

Подведу некоторый ИТОГ.

и так

http://www.trendmicro.com/en/products/nrs/...te/features.htm

Stops spam at its source

RBL+ Service blocks spam at the IP-connection level before it can traverse the enterprise perimeter. By reducing spam’s impact on mission-critical messaging systems, RBL+ provides an ideal complement to application-based anti-spam solutions and enables gateway security to run at optimal efficiency.

Конечно можно довериться RBL+ и не допускать в информационное пространство Компании якобы СПАМ, но попробуйте доказать

Что если сотрудник приехал не на своей машине в Компанию- то это не сотрудник Компании а самозванец..При этом по лицу его все узнают.

Blocks spam with almost zero false positives

To ensure accuracy and reliablity, Trend Micro Threat Prevention Network carefully monitors and maintains reputation ratings—resulting in almost zero false positives. This high level of service is not offered with free blacklists, which are often outdated and unreliable.

Конечно все письма имеющие признаки спама, перечисленные в rbl+ были помечены.

Но попробуйте доказать сотруднику Компании, что приезжать надо не на той машине, которая ему удобная.. а только на белой.

(по факту на 10000 спама - 6 ложных срабатываний)

Protects against mixed-threat attacks

While blocking spam, the service also protects corporate networks against viruses, spyware, grayware, phishing, directory harvesting attacks, and other malware that use spamming tactics to proliferate.

НЕСОМНЕННО

Lowers cost of ownership

By eliminating large volumes of spam, RBL+ prevents junk mail from wasting valuable time, clogging bandwidth, and hogging network resources. The costs for both storage and administrative review are greatly reduced.

да

Easy to set up, scale, and maintain

RBL+ is installed through a simple configuration of the MTA and can scale easily to combat the growing volume of spam—without the need for additional hardware. Plus, there is no additional software required and no need for manual policy tuning.

очень

Integrates with MTAs and supports existing gateway security

RBL+ Service integrates with InterScan Messaging Security Suite and Spam Prevention Solution—for a 3-in-1 defense against viruses, spam, phishing, and mixed threat attacks. The service is also compatible with most leading MTAs, including other security solutions. For a complete list, click here.

не только с mta.

резюме:

1. RBL + работает лучше бесплатных RBL (1 vs 9)

2. Если считать в общем (1 vs 9) то ложных срабатываний у RBL + значительно (в разы) меньше, но они так же не предсказуемы.

3. Из-за наличия ложных срабатываний письма помеченные как спам можно не доставлять пользователям, но удалять нельзя.

4. Служба поддержки весьма корректна.

5. Несмотря не на что, мне нравится

В принципе..

ТЕМУ МОЖНО ЗАКРЫВАТЬ..

[broker 30]

у меня в компании работает 1000 человек, мне всем надо объяснить то, что Вы написали.. про артефакты..

А подскажите, почему коннект идет из пула провайдера ? Как то странно это :-///

это что такое?

пул провайдера?????

Коннект может идти с любого ip определённого www.iana.org

[Михаил Кондрашин 55]

А подскажите, почему коннект идет из пула провайдера ? Как то странно это :-///

В эту базу вручную добавляют адреса, которые провайдеры используют для раздачи своим диалап (xDSL)-клиентам. Если пользователь поставит себе Linux, а не Windows, как поступает большенство, то у него появляется простая возможность отправлять письма со своего sendmail не используя MTA провайдера. Это абсолютно легитимно, но увы сейчас большая часть подобного трафика --- спам от зомби-компьютеров.

[broker 30]

Возникает вопрос, это принимаемый уровень ложных срабатываний или нет, будет ли он расти?

Вообще, российская действительность такова, что применение провайдерских пулов просто невозможно, большинство домашних пользователей имеют e-mail клиенты и устанавливают smtp соединение с авторизацией на бесплатную почту (например mail.ru)

При этом никогда в жизни не занимались рассылкой спама..

По листу DUL попадают в спам.

Или рассмотрим другую ситуацию:

Вы отправляете почту на конкретный домен (мх) из пула провайдера..

(Вообще нет промежуточной почтовой службы, например отправка заражённых писем в семантик утилитой семантика)

Рекомендация (от тренд микро) проверять последний ip в заголовке бессмыслена..так как невозможно угадать все кобминации (а понятие re-send) и второго случая..

Или вообще.. разве у нас запрещено на диал ап smtp сервисы поднимать????

[broker 30]

Следующий вопрос:

Принцип пополнения и проверки доставерности, чем гарантируется 0% ложных срабатываний?

Это не "вопрос", а "вопросы"

В RBL+ четыре базы и для каждой свой принцип пополнения. Для NASS базу пополняет некая автоматика.

Для RBL+ 0% ложных старбатываний гарантируется тем, что за пополнением баз следят 24 часа в сутки специалисты.

Для NASS 0% не гарантируется, но в этом случае отлуп должен быть 450, а это не блокирует почту а только откладывает доставку на некоторое время. Это, если угодно, избирательные graylists получаются.

А Вы пишите, что не говорили

[Сергей Ильин 1538]

Данная тема закрыта, так как непосредственно вопрос по подключения к сервису Trend Micro RBL+ исчерпан.

Обсуждение настройки Trend Micro RBL+ перенесено в ветку

http://www.anti-malware.ru/phpbb/viewtopic.php?t=313