Перейти к содержанию
broker

Подключение к Trend Micro Network Reputation Services

Recommended Posts

Михаил Кондрашин

Хочу отметить, что под ложными срабатываниями понимается ситуация, когда объективные причины для попадания в спам есть, но письмо спамом не является.

Нельзя ли подробнее, что за "объективные причины". Какой сервис использовался RBL+ или NASS?

rbl+

для меня объективные причины попадания в спам по причине наличия ip (отправителя или релея) в RBL+

Я считаю это объективной причиной потому что ВЫ утверждали, что ВАШ сервис не ошибается.

Со своей стороны хочу отметить, что уже было 5 ошибок, и что самое интересное все письма были затребованы т.е. велась переписка.

По нашему субъективному мнению эти письма классифицировать как спам нельзя.

В какую из баз RBL+ эти письма попали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

как определить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

мне дали xxxxxx.r.mail-abuse.com

как dns имя разбирается понятия не имею

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин

Хочу отметить, что под ложными срабатываниями понимается ситуация, когда объективные причины для попадания в спам есть, но письмо спамом не является.

Нельзя ли подробнее, что за "объективные причины". Какой сервис использовался RBL+ или NASS?

rbl+

для меня объективные причины попадания в спам по причине наличия ip (отправителя или релея) в RBL+

Я считаю это объективной причиной потому что ВЫ утверждали, что ВАШ сервис не ошибается.

Со своей стороны хочу отметить, что уже было 5 ошибок, и что самое интересное все письма были затребованы т.е. велась переписка.

По нашему субъективному мнению эти письма классифицировать как спам нельзя.

"Не волки, а санитары леса". Все таки, скажите в какую базу попал IP адрес, и по какой причине, если она имеется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Мне коллеги из тренд-микро ответили

The first email shows:

194.67.57.82 in QIL database, not RBL+, so this didn't trigger it.

212.46.233.146 is in DUL database, part of RBL+

The second email shows:

63.175.176.236 not in any database

70.34.130.67 is in DUL database

The third email shows:

195.34.34.227 in QIL database, not RBL+, so this didn't trigger it.

62.118.147.114 is in DUL database

195.161.152.13 is in our RSS database, part of RBL+ service.

84.74.81.241 is in dul databse

Regards,

--

Rick Lowrey

Trend Micro, NSSG

[email protected]

[email protected]

Теперь ответьте на вопрос:

Как не глядя делить письма?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
The first email shows:

212.46.233.146 is in DUL database, part of RBL+

70.34.130.67 is in DUL database

62.118.147.114 is in DUL database

195.161.152.13 is in our RSS database, part of RBL+ service.

84.74.81.241 is in dul databse

Кроме RSS, который использует сервер, являющийся (или являвшейся) открытым релеем, все остальные находятся в базе DUL --- это пулы провайдеров, то есть по идее, это должны быть попытки отправлять почту не через SMTP-сервер провайдера, а напрямую.

Для минимизации ущерба можно изменить код отлупа с 550 на 450, что приведет не к блокировке сообщения, а только отложит доставку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

The first email shows:

212.46.233.146 is in DUL database, part of RBL+

70.34.130.67 is in DUL database

62.118.147.114 is in DUL database

195.161.152.13 is in our RSS database, part of RBL+ service.

84.74.81.241 is in dul databse

Кроме RSS, который использует сервер, являющийся (или являвшейся) открытым релеем, все остальные находятся в базе DUL --- это пулы провайдеров, то есть по идее, это должны быть попытки отправлять почту не через SMTP-сервер провайдера, а напрямую.

Для минимизации ущерба можно изменить код отлупа с 550 на 450, что приведет не к блокировке сообщения, а только отложит доставку.

о каком ущербе ВЫ говорите, ВЫ уже долго убеждали меня, что ошибки быть не может..!!!!!

Хотя Ваш ответ не так странен, как Ваших коллег из головного офиса, они порекомендовали проверять не все IP из ресивдов, а последний..

НУ ЭТО ЖЕ МЯГКО ГОВОРЯ СТРАННО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
о каком ущербе ВЫ говорите, ВЫ уже долго убеждали меня, что ошибки быть не может..!!!!!

Я не утверждал, что ошибок быть не может. Я утверждал, что RBL+ работает лучше, чем бесплатные RBL, так как за ним следят спецальные люди.

О каких "ошибках" идет речь? Если вы принимаете почту с сервера, который является открытым релеем, то он будет заблокирован по базе RSS, но если данное письмо не спам, то для вас это будет "ошибка".

Если адрес в базе DUL, то это пул адресов провайдера, с которых не должна приходить почта, но если у вас есть друг, который отправляет почту со своего Linux напрямую, то почта с его адреса будет ошибочно заблокирована.

Это не ошибки, а артефакты технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

у меня в компании работает 1000 человек, мне всем надо объяснить то, что Вы написали.. про артефакты.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
у меня в компании работает 1000 человек, мне всем надо объяснить то, что Вы написали.. про артефакты.. :)

А подскажите, почему коннект идет из пула провайдера ? Как то странно это :-///

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Дабы закрыть тему..

Подведу некоторый ИТОГ.

и так

http://www.trendmicro.com/en/products/nrs/...te/features.htm

Stops spam at its source

RBL+ Service blocks spam at the IP-connection level before it can traverse the enterprise perimeter. By reducing spam’s impact on mission-critical messaging systems, RBL+ provides an ideal complement to application-based anti-spam solutions and enables gateway security to run at optimal efficiency.

Конечно можно довериться RBL+ и не допускать в информационное пространство Компании якобы СПАМ, но попробуйте доказать :)

Что если сотрудник приехал не на своей машине в Компанию- то это не сотрудник Компании а самозванец..При этом по лицу его все узнают.

Blocks spam with almost zero false positives

To ensure accuracy and reliablity, Trend Micro Threat Prevention Network carefully monitors and maintains reputation ratings—resulting in almost zero false positives. This high level of service is not offered with free blacklists, which are often outdated and unreliable.

Конечно все письма имеющие признаки спама, перечисленные в rbl+ были помечены.

Но попробуйте доказать сотруднику Компании, что приезжать надо не на той машине, которая ему удобная.. а только на белой.

(по факту на 10000 спама - 6 ложных срабатываний)

Protects against mixed-threat attacks

While blocking spam, the service also protects corporate networks against viruses, spyware, grayware, phishing, directory harvesting attacks, and other malware that use spamming tactics to proliferate.

НЕСОМНЕННО

Lowers cost of ownership

By eliminating large volumes of spam, RBL+ prevents junk mail from wasting valuable time, clogging bandwidth, and hogging network resources. The costs for both storage and administrative review are greatly reduced.

да

Easy to set up, scale, and maintain

RBL+ is installed through a simple configuration of the MTA and can scale easily to combat the growing volume of spam—without the need for additional hardware. Plus, there is no additional software required and no need for manual policy tuning.

очень

Integrates with MTAs and supports existing gateway security

RBL+ Service integrates with InterScan Messaging Security Suite and Spam Prevention Solution—for a 3-in-1 defense against viruses, spam, phishing, and mixed threat attacks. The service is also compatible with most leading MTAs, including other security solutions. For a complete list, click here.

не только с mta.

резюме:

1. RBL + работает лучше бесплатных RBL (1 vs 9)

2. Если считать в общем (1 vs 9) то ложных срабатываний у RBL + значительно (в разы) меньше, но они так же не предсказуемы.

3. Из-за наличия ложных срабатываний письма помеченные как спам можно не доставлять пользователям, но удалять нельзя.

4. Служба поддержки весьма корректна.

5. Несмотря не на что, мне нравится :)

В принципе..

ТЕМУ МОЖНО ЗАКРЫВАТЬ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
у меня в компании работает 1000 человек, мне всем надо объяснить то, что Вы написали.. про артефакты.. :)

А подскажите, почему коннект идет из пула провайдера ? Как то странно это :-///

это что такое?

пул провайдера?????

Коннект может идти с любого ip определённого www.iana.org

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
А подскажите, почему коннект идет из пула провайдера ? Как то странно это :-///

В эту базу вручную добавляют адреса, которые провайдеры используют для раздачи своим диалап (xDSL)-клиентам. Если пользователь поставит себе Linux, а не Windows, как поступает большенство, то у него появляется простая возможность отправлять письма со своего sendmail не используя MTA провайдера. Это абсолютно легитимно, но увы сейчас большая часть подобного трафика --- спам от зомби-компьютеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Возникает вопрос, это принимаемый уровень ложных срабатываний или нет, будет ли он расти?

Вообще, российская действительность такова, что применение провайдерских пулов просто невозможно, большинство домашних пользователей имеют e-mail клиенты и устанавливают smtp соединение с авторизацией на бесплатную почту (например mail.ru)

При этом никогда в жизни не занимались рассылкой спама..

По листу DUL попадают в спам.

Или рассмотрим другую ситуацию:

Вы отправляете почту на конкретный домен (мх) из пула провайдера..

(Вообще нет промежуточной почтовой службы, например отправка заражённых писем в семантик утилитой семантика)

Рекомендация (от тренд микро) проверять последний ip в заголовке бессмыслена..так как невозможно угадать все кобминации (а понятие re-send) и второго случая..

Или вообще.. разве у нас запрещено на диал ап smtp сервисы поднимать????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Следующий вопрос:

Принцип пополнения и проверки доставерности, чем гарантируется 0% ложных срабатываний?

Это не "вопрос", а "вопросы" :)

В RBL+ четыре базы и для каждой свой принцип пополнения. Для NASS базу пополняет некая автоматика.

Для RBL+ 0% ложных старбатываний гарантируется тем, что за пополнением баз следят 24 часа в сутки специалисты.

Для NASS 0% не гарантируется, но в этом случае отлуп должен быть 450, а это не блокирует почту а только откладывает доставку на некоторое время. Это, если угодно, избирательные graylists получаются.

А Вы пишите, что не говорили :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Данная тема закрыта, так как непосредственно вопрос по подключения к сервису Trend Micro RBL+ исчерпан.

Обсуждение настройки Trend Micro RBL+ перенесено в ветку

http://www.anti-malware.ru/phpbb/viewtopic.php?t=313

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • PR55.RP55
      Для некоторых объектов в меню Инфо. предусмотрено удаление: " Удалить только сам файл" Так почему бы не сделать доступным полный перечень команд ? DELREF ; DELALL ; ZOO;  и т.д.  
    • demkd
      можно горячую клавишу сделать, но я не знаю как-то оно непрозрачно получается, ну нажал ее в очередь добавилось и тишина, выводить окно то же как-то...
        это же сканер, он не обязан видеть свежачки, да и ослепить его раз плюнуть как и любой антируткит, даже просто не дать загрузить драйвер в рантайме и все, прощай антируткиты.
        в неактивной он само собой все видит я не уверен, но скорее всего вряд ли можно как-то просочиться из uefi при загрузке с r/o носителя, а в активном да, руткиты копипастят, добавляют глюки, в uVS нет антируткита, если не считать антисплайсинг, но это так малополезная фича, поэтому он и не скрывался вот его и видно.
    • santy
      в продолжении темы: tdsskiller из нормального режима не увидел ничего опасного. uVS же видит руткита и в нормальном режиме (странно) и с лайф-диска. или руткиты уже не те? :).   http://www.tehnari.ru/f35/t261417/index2.html#post2605517
    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
×