[Delirium]

Копать очень просто. Этот спам - извне, а не от ваших пользователей. Зовется спам с подменой отправителя. У меня это основная проблема в спаме, все остальное отсеивается.
Для того, чтобы проверить, так ли это у вас, откройте письмо спама, сохраните его как msg и откройте блокнотом содержимое. Ищите строки smtp from И прочее. Там должен быть другой адрес.
А с telnet действительно можно отправить письма от себя себе же. Я так часто с дома делаю, когда проверяю работоспособность почты

[wolland]

Единственноые строки с smtp содержат слежующее

Код:

Received: from YBWUZJO ([59.93.123.8] RDNS failed) by mail.oprf.ru with Microsoft SMTPSVC(6.0.3790.3959);
	 Tue, 21 Jul 2009 13:23:24 +0400
Received: from 59.93.123.8 by mx.maycom.co.jp; Tue, 21 Jul 2009 14:54:16 +0530
Message-ID: <000d01ca09e5$04f66da0$6400a8c0@bassesv3>
From: user@mydomain.ru
To: <user@mydomain.ru>

Код:

user@mydomain.ru                                            SMTP                                                                                                                  user@mydomain.ru                                            EX:/O=MYDOMAIN/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=USER                                                                Ь§@ИАBґ№ +/б‚
       /O=MYDOMAIN/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=USER                                                                                                   Full_User_NAME                                   /O=Mydomain/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIP

Но все это содержалось в конце письма, в блоке проверки NOD'ом
Понятно, что mx.maycom.co.jp - это и есть спамер, но куда теперь копать, ведь он не один?

[Oleg Krylov]

Delirium, двойка То, что ты советуешь смотреть - MIME-конверт, там уже все подменено. Нужно смотреть SMTP-log, и сравнивать его с данным конвертом.
wolland, в Exchange 2003 функционала, разрешающего данную проблему нет. Используйте Graylist - дешево и сердито. Принцип можете почитать у меня в блоге. Ну или ставть серьезный спам-фильтр.

[wolland]

GFI Mail Essantial 12 не справляется с данной задачей.
Ну либо у меня кривые руки

[Delirium]

Цитата Oleg Krylov:

Delirium, двойка То, что ты советуешь смотреть - MIME-конверт, там уже все подменено »

Нифига не двойка, я как раз и хотел увидеть вот эту строку :

Цитата wolland:

Received: from 59.93.123.8 by mx.maycom.co.jp »

А то может, у него действительно, от самого себя идет А так посмотреть просто и быстро

Цитата wolland:

GFI Mail Essantial 12 не справляется с данной задачей. »

и 14 не справится, и GFI MailSecurity не справится.

А вот по поводу graylisting'а ничего не могу сказать, не настраивал еще.
wolland, Пока что я обхожусь идиотским способом - keyword checking. Забил туда кучу записей со спам писем, пока отсеивает, но это не выход.

[wolland]

А при чем здесь mail security, это же совсем из другой оперы
Пробовал использовать стандартный фильтр Sender ID но как то хреновая у него продуктивность.
Graylist фильтр в 12gfi у меня включен.. в том то и проблема, что проходит спам только с подменой имен, все остальной благополучно отсеивается.

[Oleg Krylov]

Цитата wolland:

Graylist фильтр в 12gfi у меня включен.. »

Вот так даже? А где включали, если не секрет? Насколько я помню, в GFI MailEssential до сих пор модуля Graylisting'а нет. Поэкспериментуируйте с добавлением в блэклист всего вашего домена, но в этом случае есть подводные камни: POP3 клиенты не смогут отправлять почту, это всякие Outlook Express, The Bat старых версий и Mozillla Thunderbird..., и нужно будет отключать фильтрацию исходящей почты, т.к. иначе исходящая почта может встать.
По поводу модуля Graylisting'а советую поискать в Гугле JEP(S), очень качественный продукт, его бесплатная версия может очень много, ну а купив ее за 200 евро (количество SMTP-серверов, ящиков и т.п. неограничено) получите просто сказочный функционал в виде, например, Auto-WhiteList'а, т.е. белый список будет заполняться по исходящей почте. Супер же