(W2K3) GFI Mailessentials report veel spam

We hebben GFI Mailessentials versie 14.0 draaien op onze gateway (DMZ). De gateway stuurt de mail door naar de Front exchange server welke de mail weer doorstuurt naar de 5 backend mailservers (alle exchange 2003).
Alles zit in 1 W2003 domein. Spam word dus op de gateway afgevangen door GFI. Exchange filters staan uit omdat dit in het verleden onduidelijkheid gaf over wie nu wat afvangt.
Organisatie met +/- 400 XP gebruikers.
De spam die bij de users binnenkomt is minimaal door de GFI filter. Sommige mensen krijgen weer wel meer spam zoals de laatste tijd veel duitse spam van GMail accounts maar dit is maar bij sommige.

Sinds kort is er de mogelijkheid om reports te krijgen van de nieuwe module binnen Mailessentials de GFI MailEssentials Spam Digest. We zijn op de hoogte van de grote mailstroom die binnen komt en dat daarvan ruim 93% spam is.

Onderstaand het laatste rapport:
GFI MailEssentials - SPAM Digest Report

Email:

Start Date: 6/7/2009
End Date: 6/8/2009

Counts
Total email processed: 47784
Total spam count: 44793 (93.74%)

Distribution
Blacklist: 24
Header Checking: 4
Keyword Checking: 0
Bayesian Analysis: 193
DNS Blacklist: 5138
SPF: 251
Directory Harvesting: 38545
Spam URL Blacklist: 7
Phishing URL Blacklist: 0
New Senders: 0
SpamRazer: 631
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Zoals je ziet krijgen we absurd veel spam binnen (bijna 45000 mails per dag). Een deel zal nog af te vangen zijn door onze opzet van de mailservers en mailessentials te veranderen of door de filters nog verder te ontwikkelen maar ik vraag me echt af of er niet ergens aan de voorkant iets fout gaat.

Word ons domein gespammed ? Hoe kan ik daar achter komen
Wat kan ik ondernemen om de voordeur zoveel mogelijk te ontzien ?

Ik ben geen exchange goerroe maar weet wel wat van GFI af.

Misschien dat iemand al direct ziet waar de oorzaak zit en in welke hoek we de oplossing moeten zoeken.
We willen het liefst de spamfiltering in eigen beheer houden.

Qwerty-273 schreef op dinsdag 09 juni 2009 @ 12:41:
Het grootste deel van je spam is Directory Harvesting met 38k, een veel voorkomende vorm - zeker wanneer je domein al langer bestaat en externe contacten onderhoud.
De tweede positie wordt ingenomen door DNS Blacklist met 5k aan mails. Ook een veel voorkomende vorm van spam, denk daarbij aan botnets / open mailrelays die spam sturen aan een geldig adres in je organisatie maar waar de verzendende host bekend staan op een blacklist.
En een percentage van rond de 90-95% spam is eigenlijk tegenwoordig wel standaard te noemen (helaas).

Klopt maar de binnenkomende stroom van rond de 50K mails per dag is toch erg veel of zie ik dat verkeerd ?
Zou ik daar iets aan kunnen doen of iets kunnen checken ?

Tis wat met het spam gebeuren

Onze spamrazer module binnen GFI en de DNS Blacklist geven nu weer de nodige problemen (Fals positive).

Spamrazer geeft aan "IP has spammy reputation" en de module staat op delete maar de mail moest binnen komen.

DNS Blacklist geeft aan "Dynamic IP detected" staat ook op delete en zelfde verhaal als hierboven.

We hebben de volgende modules op delete staan, van al deze modules hebben we logging aanstaan zodat we wel kunnen terug zoeken in de logs.
Directory Harvesting
DNS Blacklist
Spamrazer
Phishing URI
Custom Blacklist
Spam URI
Header checking


De rest word forwarded naar postmaster. Lastige is als je bij zo'n grote mailflow een module op forward (ipv delete) zet dat je dit direct merkt in het door moeten spitten van de postmaster box. Dat probeer je zoveel mogelijk te voorkomen maar het lijkt er op dat je af en toe toch weer een stapje terug moet.

Sommige filters zien dynamische ip adressen als spam, is dit eigenlijk wel redelijk ?

Wat me nu te binnen schiet, is er een manier om een mailadres buiten GFI om te laten lopen waar mensen heen kunnen mailen als GFI het tegen houd om onduidelijke redenen ?
Een soort extra postmaster mailbox die alleen systeembeheer beheerd.
Wat je binnen GFI ziet is dat de filters 99% van de tijd het bij het juiste eind hebben en het daarom jammer is om filters op forward te zetten want dat schept een hoop speurwerk in de postmaster .

[ Voor 18% gewijzigd door Verwijderd op 10-06-2009 10:10 ]

remco_k schreef op woensdag 10 juni 2009 @ 10:22:
Nou weet ik niets van GFI af, dus het kan zijn dat ik nu maar wat zit te brabbelen:

Het moet toch niet zo zijn dat 1 filter zomaar (al dan niet terecht) een e-mail kan taggen als spam?
Je hebt toch juist meerdere filters achter elkaar, waarmee je een soort spam score (spamassassin doet dat) kunt bijhouden. Hoe meer filters je gebruikt (die goed zijn geconfigged en getraind) hoe beter/betrouwbaarder de spam tagging werkt?
Om dan aan het einde, als de e-mail door alle filters heen is gekomen, de spam score te bekijken en als die boven een bepaalde treshold is, dan trash je 'm gewoon.

En ja, dat is wel druk dan met 50K e-mails per dag. Kan met perioden 2 e-mails (of nog meer) per seconde zijn. Maar een beetje normale mailserver moet daar geen probleem mee hebben.

Er hangen id meerdere spammodules achter elkaar. Het zijn er 11 waarvan er op delete staan en op forward. je kan dus per module kiezen wat je wil (delete mail/forward mail/move to folder/tag with spam). De optie delete is natuurlijk qua beheer van de postmaster mailbox de zware favoriet maar ook de risicovolle.

remco_k schreef op woensdag 10 juni 2009 @ 10:37:
[...]

Maar ik begrijp dan dus uit jouw verhaal dat die filters dus niet "samen" tot een conclusie komen maar individueel?
Dat lijkt me raar en bovendien meer foutgevoelig (zowel false positive als false negative).

Tis net hoe je het bekijkt.
Je kan ze instellen op module volgorde (verticaal) en de mail word middels die volgorde afgehandeld. als je meerdere filters hebt neem ik aan dat ze altijd op volgorde doorlopen worden.

Zit nog even te knutselen.

Klopt het dat ik in outlook 2007 (middels exchange 2003) geen GMail account werkend krijg. Moet daar de exchange server voor aangepast worden ?

Ik denk ik ga eens testen of ik mensen die de mail niet bij ons binnen krijgen door GFI deze de mail naar GMail laat sturen welke ik dan weer inporteer in mijn outlook 2007 en weer intern doorstuur.

Ik krijg die GMail niet aan de praat. Op mijn thuis situatie gaat dit wel maar daar heb ik geen exchange.

RolfLobker schreef op woensdag 10 juni 2009 @ 21:58:
[...]


Of imap

Overigens zou ik het gebruik van pop3 en imap niet toestaan en zelfs blokkeren op firewall niveau.
Alleen de mailserver mag port 25 outgoing gebruiken en het liefst een smtp-proxy ertussen

Anders duurt het niet lang dat iemand zijn eigen pop3 account gaat gebruiken met alle gevolgen van dien.

Is volgens mij bij ons ook geblokkeerd want krijg het niet aan de praat op imap of pop.

Hoe kan ik dit nu het beste aanpakken ?
Ik denk dat het aanmaken van een externe mailbox (Gmail/Hotmail of wat dan ook) waarmee ik binnen het netwerk mail kan ontvangen en versturen. Als iemand dan meld dat er mail geblokkeerd word kan ik vragen om die mail naar die nieuwe mailbox te laten sturen zodat ik hem toch binnen het netwerk kan krijgen maar buiten GFI en Exchange om. Volgens mij is het zo dat wanneer de mail intern doorgestuurd word ik buiten GFI om ga. Hiermee hoef ik niet verschillende filters op forward ipv delete te zetten voor dat ene mailtje wat geblokkeerd word.