SA - FORGED_MUA_OUTLOOK

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
zilonis
Advanced member
Сообщения: 54
Зарегистрирован: 30 июн 2007, 12:12

SA - FORGED_MUA_OUTLOOK

Сообщение zilonis » 05 ноя 2008, 17:31

Было все хорошо но вот в один прекрасный день один пользователь стал попадать под правило FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook.

Для отправки используеn Outlook Express и если я правильно понимаю SA это мыло понимает что его пытаеться отослать клиент который притворяеться Outlook'ом а не Outlook Express. Есть мысль что на этой машине побывал вирус и где то что то изменил\осталось.

Кто что посоветует? Оценка этому правилу по умолчанию 4.06. Снижать ее не советовать.

zilonis
Advanced member
Сообщения: 54
Зарегистрирован: 30 июн 2007, 12:12

Сообщение zilonis » 07 ноя 2008, 20:09

Многоуважаемый алл дельным советом не поможет?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 10 ноя 2008, 08:31

zilonis писал(а):Многоуважаемый алл дельным советом не поможет?
Через какой сервер отправляется почта? Вин, линукс, юникс? Какой почтовик используется?
Поднимите уровень логов на предмет анализа коннекта, посмотрите что происходит и кто какие данные отсылает и ставит во время коннекта. ИМХО это может и почтовик неверное интерпретировать почтового клиента.

zilonis
Advanced member
Сообщения: 54
Зарегистрирован: 30 июн 2007, 12:12

Сообщение zilonis » 10 ноя 2008, 12:51

CentOS 4.5 использую. Почтовик stndmail... Логи смотрел, но подозрительного для себя ничего не обнаружил... Попробую по внимательней почитать логи...

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 18 ноя 2008, 15:35

если это конкретный локальный пользователь просто добавте его в белый список

zilonis
Advanced member
Сообщения: 54
Зарегистрирован: 30 июн 2007, 12:12

Сообщение zilonis » 18 ноя 2008, 15:41

Это как вариант из бызвыходного положение.... Я просто немогу понять скаких это пор он стал таким... Работает с Outlook Express... С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 18 ноя 2008, 16:04

zilonis писал(а):С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...
Врядли, я давненько встречал такой глюк. Скорей всего связано с заголовком, который корябится при прохождении через местный почтовик.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 18 ноя 2008, 16:04

получите от проблемного клиента любое письмо и сравните его по заголовкам с письмом от любого коллеги чьи письма ходят хорошо.
сразу все станет видно. Насколько я понимаю изменена сигнатура программы с которой отправляли.

zilonis
Advanced member
Сообщения: 54
Зарегистрирован: 30 июн 2007, 12:12

Сообщение zilonis » 18 ноя 2008, 16:15

Stranger03 писал(а):
zilonis писал(а):С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...
Врядли, я давненько встречал такой глюк. Скорей всего связано с заголовком, который корябится при прохождении через местный почтовик.
Да вот в том то и дело что прием и отсылка почты осуществляется через мой сервер без каких либо посредников т.е. клиент лезет на прямую ко мне что бы отослать почту и тут его цапает за попу SA.

zilonis
Advanced member
Сообщения: 54
Зарегистрирован: 30 июн 2007, 12:12

Сообщение zilonis » 18 ноя 2008, 16:17

setar писал(а):получите от проблемного клиента любое письмо и сравните его по заголовкам с письмом от любого коллеги чьи письма ходят хорошо.
сразу все станет видно. Насколько я понимаю изменена сигнатура программы с которой отправляли.
Ну вот судя по правилу которое срабатывает так и есть. Сечас будет смена сервера, посмотрим как будет на нем обстоять дело и заодно капну дальше. на текущем нет смысла углубляться в решение проблемы. Но интересно блин...

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 18 ноя 2008, 16:24

"zilonis"
Насколько я понимаю ваш почтовик тупо не понимает код заголовка письма, а именно идентификатор почтовой программы. Это может быть из-за какого-нибудь сервиспака, фаервола, антивируса на клиенте. Мало ли. Увеличьте уровень лога, посмотрите что там происходит.

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 18 гостей