Форум Тринити

Открытый технический форум по серверам и системам хранения данных, кластерным решениям, SAN, NAS.
Microsemi infortrend storage
Текущее время: 13 дек 2018, 15:54

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: SA - FORGED_MUA_OUTLOOK
СообщениеДобавлено: 05 ноя 2008, 18:31 
Не в сети
Advanced member

Зарегистрирован: 30 июн 2007, 12:12
Сообщения: 54
Было все хорошо но вот в один прекрасный день один пользователь стал попадать под правило FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook.

Для отправки используеn Outlook Express и если я правильно понимаю SA это мыло понимает что его пытаеться отослать клиент который притворяеться Outlook'ом а не Outlook Express. Есть мысль что на этой машине побывал вирус и где то что то изменил\осталось.

Кто что посоветует? Оценка этому правилу по умолчанию 4.06. Снижать ее не советовать.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 07 ноя 2008, 21:09 
Не в сети
Advanced member

Зарегистрирован: 30 июн 2007, 12:12
Сообщения: 54
Многоуважаемый алл дельным советом не поможет?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 10 ноя 2008, 09:31 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 ноя 2003, 17:25
Сообщения: 13040
Откуда: СПб, Екатеринбург
zilonis писал(а):
Многоуважаемый алл дельным советом не поможет?

Через какой сервер отправляется почта? Вин, линукс, юникс? Какой почтовик используется?
Поднимите уровень логов на предмет анализа коннекта, посмотрите что происходит и кто какие данные отсылает и ставит во время коннекта. ИМХО это может и почтовик неверное интерпретировать почтового клиента.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 10 ноя 2008, 13:51 
Не в сети
Advanced member

Зарегистрирован: 30 июн 2007, 12:12
Сообщения: 54
CentOS 4.5 использую. Почтовик stndmail... Логи смотрел, но подозрительного для себя ничего не обнаружил... Попробую по внимательней почитать логи...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 16:35 
Не в сети
Site Admin
Site Admin
Аватара пользователя

Зарегистрирован: 22 авг 2002, 12:03
Сообщения: 2005
Откуда: St. Petersburg
если это конкретный локальный пользователь просто добавте его в белый список


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 16:41 
Не в сети
Advanced member

Зарегистрирован: 30 июн 2007, 12:12
Сообщения: 54
Это как вариант из бызвыходного положение.... Я просто немогу понять скаких это пор он стал таким... Работает с Outlook Express... С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 17:04 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 ноя 2003, 17:25
Сообщения: 13040
Откуда: СПб, Екатеринбург
zilonis писал(а):
С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...

Врядли, я давненько встречал такой глюк. Скорей всего связано с заголовком, который корябится при прохождении через местный почтовик.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 17:04 
Не в сети
Site Admin
Site Admin
Аватара пользователя

Зарегистрирован: 22 авг 2002, 12:03
Сообщения: 2005
Откуда: St. Petersburg
получите от проблемного клиента любое письмо и сравните его по заголовкам с письмом от любого коллеги чьи письма ходят хорошо.
сразу все станет видно. Насколько я понимаю изменена сигнатура программы с которой отправляли.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 17:15 
Не в сети
Advanced member

Зарегистрирован: 30 июн 2007, 12:12
Сообщения: 54
Stranger03 писал(а):
zilonis писал(а):
С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...

Врядли, я давненько встречал такой глюк. Скорей всего связано с заголовком, который корябится при прохождении через местный почтовик.


Да вот в том то и дело что прием и отсылка почты осуществляется через мой сервер без каких либо посредников т.е. клиент лезет на прямую ко мне что бы отослать почту и тут его цапает за попу SA.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 17:17 
Не в сети
Advanced member

Зарегистрирован: 30 июн 2007, 12:12
Сообщения: 54
setar писал(а):
получите от проблемного клиента любое письмо и сравните его по заголовкам с письмом от любого коллеги чьи письма ходят хорошо.
сразу все станет видно. Насколько я понимаю изменена сигнатура программы с которой отправляли.


Ну вот судя по правилу которое срабатывает так и есть. Сечас будет смена сервера, посмотрим как будет на нем обстоять дело и заодно капну дальше. на текущем нет смысла углубляться в решение проблемы. Но интересно блин...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 18 ноя 2008, 17:24 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 ноя 2003, 17:25
Сообщения: 13040
Откуда: СПб, Екатеринбург
"zilonis"
Насколько я понимаю ваш почтовик тупо не понимает код заголовка письма, а именно идентификатор почтовой программы. Это может быть из-за какого-нибудь сервиспака, фаервола, антивируса на клиенте. Мало ли. Увеличьте уровень лога, посмотрите что там происходит.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB