Symantec Brightmail Antispam - растет очередь SMTP

[Divmax 0]

Уважаемые коллеги, хелп! Есть два сервера, Exchange, впереди Brightmail. брайтмейл сохраняет спам письма в папку на диске, а нормальные отправляет посредством SMTP на Exchange. Иногда очередь SMTP начинает расти (никакие настройки при этом не меняются). Решается либо перезапуском сервисов, перезагрузкой сервера, сменой папки, в которую сохраняются письма и др. шаманскими действиями. Сейчас это не исправляется уже ничем. Может кто знает, куда копать? Техподдержка симантека молчит...

[Maxim 0]

и правильно молчит, потому что проблема тут врядли в брайтмэйле.

наверняка у вас ыксчейндж перестает принимать почту

1) смотреть что в логах отправки брайтмэйла, по какой причине не смог отправить то или иное письмо

2) с достаточной вероятностью могу сказать что экс иногда тупо вешает коннекты и не принимает почту из-за какойто своей баги, была именно такая ситуация только с нормальным smtp сервером. как оказалось это была бага в iis который сервит входящие коннекты. полечили вроде апгрейдом 2003 венды до r2 (или r3, апгрейдили наши вендузятники, я уже не помню.)

[Divmax 0]

Возможно exch, не отрицаю. Однако при полной переустановке сервера с Brightmail проблема раньше решалась пару раз (до меня) А как понять ошибки в логах Brightmail: (ERROR:1312.1320): [2032] Error connecting to 127.0.0.1:25: Unknown Error; Out of range.

(NOTICE:1312.1320): [30008] SMTP connect failure: could not connect to 127.0.0.1. (NOTICE:1352.4852): [27165] Message for: <mail@mydomain.ru> returned Disposition: <reject>. Query against Policy: <Default> returned Destination: <null> and Action: <saveToDisk>. Не могу найти в гугли ничего путного по этому поводу... Может знаете?

[Maxim 0]

я честно говоря слабо представляю структуру БМ, и пользовал его только в связке с МТА. у вас как понимаю стоит как самостоятельный демон. для чего он коннектится на локалхост мне непонятно, разве что только инжектнуть обратно к себе же в очередь. может машина тривиально перегружена.

ну и маловато логов, надо включать дебаг.

[Divmax 0]

локалхост стоит, потому что того требуют настройки сканера в конфиге, т.е. там нужно указывать либо локалхост, либо айпишник, либо доменное имя. Машина точно не перегружена - памяти и проца мало задействовано, очередь на запись в дисковой подсистеме тож нормальная. Вот я и не понимаю, почему он вдруг перестает работать. Т.е. у меня настройка-сохранять спам письма на диск - он перестал туда их сохранять. Меняю местоположение - результат тот же. Поэтому я не думаю, что дело в эксче, как я понимаю brightmail сначала обрабатывает пришедшее письмо, если считает, что оно спам - кладет на диск, если считает, что норма- пересылает на эксч. Так вот очередь встает при записи на диск. В техподдержке сказали - сложная ситуация, логи им отправлены, но они отвечать будут еще сутки, а письма то стоят... Так что время у меня - максимум до утра

[Maxim 0]

хорошо, начнем с другого. на 127.0.0.1:25 кто слушает?

[Divmax 0]

э... наверно я неправильно объясняю: вот настройки в Brightmail: SMTP Insertion Hosts - Symantec Brightmail AntiSpam™ must periodically remove a message from the mail flow, modify it, and then reinsert it. In addition, the system sends email notifications when alerts are generated and sends Quarantine notifications to end-users. Symantec Brightmail AntiSpam™ must know where to send these messages. - здесь требуется указать айпи сканера: Specify the Insertion Host for the Brightmail Control Center, You can specify different Insertion Hosts for each Brightmail Scanner, Specify the Insertion Host to send a cleaned virus message to (usually the same host where the Brightmail Client is running) - здесь хост и порт, Specify the Insertion Host to send all other messages that need to be reinserted (usually a downstream mail host) - и здесь хост и порт. Эти значения устанавливаются изначально (при установке сервера) и не изменяются

[Maxim 0]

ну про что и речь, это тот адрес куда БМ инжектит обратно почту.

дело не в этом менялись они или нет, дело в том что тот кто слуша у вас на 127.0.0.1:25 либо помер либо перестал принимать соединения. может патч какой под ыксчейндж поставили, или переконфигуряли там чего.

вопрос остается в силе - БМ через 127.0.0.1:25 инжектит обратно к себе или сразу в эксч.

[Divmax 0]

аааа, в общем почтовик не трогали - 100 процентов, БМ через 127 инжектит видимо к себе, т.к. отклика от смтп не вижу - т.е. черный экран как обычно и возврат.

Добавлено спустя 3 минуты 52 секунды:

кстати только что поставили на другом сервере брайтмейл - при первом запуске - добавить сканер, указываю соответственно этот же сервер (на котором сканер) и он все остальные хосты и порты автоматом проставляет.

[Maxim 0]

файрвол?

и что говорит с той же машины telnet 127.0.0.1 25

[Divmax 0]

файрволл - циска - там разрешены необходимые порты. телнет с машины говорит: молчание и возврат к c:documents and settings...

[Maxim 0]

ну что-то же он должен сказать телнет, просто так он не может отвалится. скриншот хоть приаттачьте

[Divmax 0]

сорри что так долго - телнет на 25 порт в прицепе

[Кирилл Керценбаум 671]

Уважаемый Divmax,

Установлена ли у вас последняя версия BA, 6.0.5? Установлен ли у вас последний 186 патч? И что значит что support молчит?

и правильно молчит, потому что проблема тут врядли в брайтмэйле

Не согласен, молчать они не имеют право, они так и должны сказать, даже если проблема в чем-то другом

[Divmax 0]

1. Установлена, 2. Патч - нет, сейчас поставлю. 3. Саппорт молчит пока после отправки логов, а перед этим ответили вот что: "Ситуация к сожалению запутанная - могли бы Вы переслать лог файлы Brightmail за "проблемное" время?

Еще - если срок остановки почты после смены папки не дни а несколько часов - могли бы Вы сделать следующее:

Временно включить стандартный карантин Brightmail - при работе в таком режиме есть ли проблема?

Еще момент - каким образом Вы удаляли клиентскую защиту? Стандарнтым удалением программы и перезагрузкой? Возможно ли чтобы какие либо фрагменты SAV остались?

Могли бы Вы проверить Ваш сервер - все ли компоненты удалены. Я прилагаю ссылку на статью где описана процедура ручного удаления различных версий SAV." И извините, не в техподдержке симантека, а в техподдержке Антивируспро (у которой, собственно, мы и купили симантек). Я так понимаю, лучше было обратиться напрямую?

[Maxim 0]

ээ. хотелось бы скриншот телнета запущеного не через start->run а из cmd.exe

[Кирилл Керценбаум 671]

Divmax

Ситуация действительно запутанная, конечно нельзя сказать что суппорт молчит, но лучше конечно обращаться напрямую в Симантек, тем более регламент поддержки это позволяет, единственный недостаток - общаться придется на английском, на всякий случай телефон ТП Symantec:

Brightmail AntiSpam

Russian Federation

Telephone:

+7 495 6412291

Language:

English

[Divmax 0]

Maxim, Кирилл, огромное человеческое спасибо! :wink: в общем Symantec по неизвестным пока мне причинам потерял связь со своим SMTP хостом. После переустановки smtp симантек не смог к нему подключиться, и, соответственно, обрабатывать файлы. После переустановки сканера на уже настроенный смтп все заработало, письма стали писаться на диск. Однако очередь пока глючит: то рагребется, то опять соберется, я свяжусь с техподдержкой, которую вы указали напрямую :wink:

[Кирилл Керценбаум 671]

Divmax

Не за что, а почему Вы, если не секрет, не переходите на более современный продукт от Symantec - Mail Security for SMTP 5.0?

[Divmax 0]

Не секрет конечно Mail Security стоит на exchange уже 3 года, но фильтрует только вирусы, честно говоря, мне всегда казалось, что антиспам из него никудышный во-первых, а во вторых хотелось ограничить спаммеров только внешним сервером и не пускать на сам exchange. Он за это время сильно вырос? В ближайшие 3 месяца перехожу на кластер exchange 2007 и вот думаю попробовать Premium Antispam, т.к. основан он на Brightmail, но задержанные спамовые сообщения пользователь будет видеть сразу и в нормальном отображении. Что вы думаете по поводу этого продукта?

[Кирилл Керценбаум 671]

Не, Mail Security for Exchange это понятно, у Symantec есть продукт именно для SMTP - Mail Security for SMTP 5.0.1 - который кстати делают те же разработчики Brightmail, он и является его логическим продолжением, у нас есть его обзор - http://www.anti-malware.ru/index.phtml?par...c_mail_security. Он как раз и является внешним сервером и функций в нем занчительно больше чем в BA. Premium Antispam это полный аналог BA, но все же со спамом нужно бороться на шлюзе дабы снизить нагрузку на почтовые сервера

[Divmax 0]

Отлично, спасибо, гляну! Тогда если у меня будет на шлюзе Sym for SMTP, на самом Exchange нужно ли оставлять Mail Security for Exchange или в нем уже не будет необходимости?

[Maxim 0]

Кстати, Кирилл, просвятите пожалуйста. БМ научился работать кроме sendmail и RHEL на чем нибудь другом официально?

имеются в виду пенгвины, разумеется.

[Кирилл Керценбаум 671]

Антивирус для почтового сервера, например Mail Security for Exchange, обязательно нужен, так шлюзовой продукт не защищает внутренний оборот сообщений, единственный минус текущей версии Symantec Mail Security for Exchange - в Exchange 2007 он не поддерживает контентную фильтрацию, так что если переход на Exchange 2007 неотвратим то либо нужно ждать следующую версию, либо думать о другом продукте; вот Premium Antispam в случае использования Антиспама на SMTP особо не нужен.

Добавлено спустя 3 минуты 53 секунды:

Maxim

Последняя версия 5.0.1 Mail Security for SMTP поддерживает только следующие версии Linux:

Symantec Mail Security for SMTP is supported on the following versions of Linux:

■ Red Hat AS 3 and 4

■ Red Hat ES 3 and 4