KD
1. Bounce verification умеет? 2. У вас внутри сети вирусы не отправляют, я так понимаю. Исключительно из инета прилетают 😀
1. умеет все что postfix 2. а антивирус на клиенте на что?
Size: a a a
2020 August 07
VG
Проверяет на вирусы и при отправке изнутри. Надо только галочку поставить
Изнутри в инет? удивили. Я имела ввиду пересылку между внутренними отправителями и получателями.
ВБ
Изнутри в инет? удивили. Я имела ввиду пересылку между внутренними отправителями и получателями.
я уже понял))
VG
1. умеет все что postfix 2. а антивирус на клиенте на что?
У вас клиенты без антивируса не могут подключаться в локальную сеть? Или снаружи только разрешенные и проверенные клиенты ходят? Postfix - bounce verification? Ссылочку можно? на всякий - bounce verification это проверка того, что NDR является легальным на отправленное сообщение из вашей организации
ВБ
...... Осталось понять что есть bounce verification////
VG
...... Осталось понять что есть bounce verification////
В двух словах - отправляете вы наружу сообщение. В него апплианс ставит некий тэг, который хранится в базе. Обычно там перезаписывается адрес с этой меткой. далее, известная атака - спамер пишет от имени вашего пользователя не существующему получателю в реальной почтовой системе. Эта система формирует NDR - и ессно, ваш чудесный анти-спам это не ловит, ибо вполне доверенный сервер это сообщение отправил. В случае, если реализована эта технология апплианс (или что там) может проверить, что NDR сгенерирован на реальное сообщение, которое отправлял ваш пользователь. У других вендоров это может называться по-разному https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/215124-best-practice-guide-for-bounce-verificat.html У апплианса Касперского такого функионала не было года 2-3 назад. Пришлось костыли транспортными правилами делать по теме сообщения - не доставлено, cannot be delivered и т.д.. Топ 10. Извращение, в общем
AV
У вас клиенты без антивируса не могут подключаться в локальную сеть? Или снаружи только разрешенные и проверенные клиенты ходят? Postfix - bounce verification? Ссылочку можно? на всякий - bounce verification это проверка того, что NDR является легальным на отправленное сообщение из вашей организации
эх, defender ATP + NAC контроллер....мечты
ВБ
В двух словах - отправляете вы наружу сообщение. В него апплианс ставит некий тэг, который хранится в базе. Обычно там перезаписывается адрес с этой меткой. далее, известная атака - спамер пишет от имени вашего пользователя не существующему получателю в реальной почтовой системе. Эта система формирует NDR - и ессно, ваш чудесный анти-спам это не ловит, ибо вполне доверенный сервер это сообщение отправил. В случае, если реализована эта технология апплианс (или что там) может проверить, что NDR сгенерирован на реальное сообщение, которое отправлял ваш пользователь. У других вендоров это может называться по-разному https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/215124-best-practice-guide-for-bounce-verificat.html У апплианса Касперского такого функионала не было года 2-3 назад. Пришлось костыли транспортными правилами делать по теме сообщения - не доставлено, cannot be delivered и т.д.. Топ 10. Извращение, в общем
Не проходит подобное. ). Ловит.
KD
В двух словах - отправляете вы наружу сообщение. В него апплианс ставит некий тэг, который хранится в базе. Обычно там перезаписывается адрес с этой меткой. далее, известная атака - спамер пишет от имени вашего пользователя не существующему получателю в реальной почтовой системе. Эта система формирует NDR - и ессно, ваш чудесный анти-спам это не ловит, ибо вполне доверенный сервер это сообщение отправил. В случае, если реализована эта технология апплианс (или что там) может проверить, что NDR сгенерирован на реальное сообщение, которое отправлял ваш пользователь. У других вендоров это может называться по-разному https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/215124-best-practice-guide-for-bounce-verificat.html У апплианса Касперского такого функионала не было года 2-3 назад. Пришлось костыли транспортными правилами делать по теме сообщения - не доставлено, cannot be delivered и т.д.. Топ 10. Извращение, в общем
поясните пожалуйста. я не совсем понял идею атаки, как спамер может написать от имени моего пользователя хоть в мою, хоть в чужую реальную почтовую систему при настроенных spf и dmark? По идее любой любой нормально настроенный шлюз должен отклонить сообщение от невалидного сервера.
VG
Не проходит подобное. ). Ловит.
Либо на вас такие атаки не делают. В маленьких компаниях в принципе не большое кол-во спама. На большие, к кому есть интерес, все бывает не так радужно
ВБ
поясните пожалуйста. я не совсем понял идею атаки, как спамер может написать от имени моего пользователя хоть в мою, хоть в чужую реальную почтовую систему при настроенных spf и dmark? По идее любой любой нормально настроенный шлюз должен отклонить сообщение от невалидного сервера.
Вполне себе. Подменяет адрес с нужным текстом и отлуп приходит уже на реальный адрес. А нужный текст уже есть
KD
Вполне себе. Подменяет адрес с нужным текстом и отлуп приходит уже на реальный адрес. А нужный текст уже есть
адрес чего подменяет?
ВБ
Либо на вас такие атаки не делают. В маленьких компаниях в принципе не большое кол-во спама. На большие, к кому есть интерес, все бывает не так радужно
Ну некоторое время я замечал такое. Но все подобные письма в карантине. Но да. Мы организация небольшая.
VG
поясните пожалуйста. я не совсем понял идею атаки, как спамер может написать от имени моего пользователя хоть в мою, хоть в чужую реальную почтовую систему при настроенных spf и dmark? По идее любой любой нормально настроенный шлюз должен отклонить сообщение от невалидного сервера.
ради интереса сделайте опросник. У большинства SPF настроен как soft fail. DKIM не используется. Про DMARC и автоматизацию проверки отчетов я вообще молчу. В Европе получше с этим. В России даже в крупных компаниях не везде настроено как надо.
ВБ
адрес чего подменяет?
Отправителя. Но шлет с невалидного адреса на валидный. А отлуп уходит на валидный
VG
адрес чего подменяет?
Отправителя. Туда дописывается метка. Так реализовано у Cisco, у других вендоров может быть по-другому. У FortiMail вроде аналогично.
KD
ради интереса сделайте опросник. У большинства SPF настроен как soft fail. DKIM не используется. Про DMARC и автоматизацию проверки отчетов я вообще молчу. В Европе получше с этим. В России даже в крупных компаниях не везде настроено как надо.
ну т.е. если на домене это все настроено, то в целом костыль в виде bounce verification как таковой не нужен?
KD
Отправителя. Туда дописывается метка. Так реализовано у Cisco, у других вендоров может быть по-другому. У FortiMail вроде аналогично.
нет я как раз имел в виду спамера, че он там подменить то может? ;) про теги в технологии bounce verification все понятно
VG
ну т.е. если на домене это все настроено, то в целом костыль в виде bounce verification как таковой не нужен?
Нужен ) Вы же не контролируете, как получатели реагируют на несоответствие SPF\DMARC? 😊
KD
Нужен ) Вы же не контролируете, как получатели реагируют на несоответствие SPF\DMARC? 😊
справедливо