Egy IT menedzser elete

Közösségi kerekasztal

Egy menedzser elete csupa moka es kacagas, kiveve ha a ceges email uzemeltetese kerul szoba. Mert az ma mar mindenhol alap, hogy a cegen beluli (es kivuli) infok joreszt emailben kozlekednek, de van par dolog, ami kuzdelmesse teszi a levelezest a szinfalak mogott. Pl. rendelkezesre allas, email kvotak, emailek mentese, torolt emailek visszaallitasa, stb.

Arra vagyok kivancsi, hogy a ceges email szolgaltatassal kapcsolatban milyen nehezsegek merulnek fel nalatok, es azokat hogyan oldjatok meg? Nem csak az IT-menedzserek velemenye erdekel, hanem a rendszergazdake, sot az end usereke is. Az is er, ha a ceges levelezes a felhoben van (isp-nel, vagy eppen google apps, o365, ...).

  • 5747 megtekintés

( uid_4656 v | 2014. 11. 06., cs – 12:17 )

Szerintem a levelezőrendszerrel kapcsolatban a félreértések okozzák a legnagyobb problémát.

- "Mentés? Persze, menteni kell az e-maileket. Este 9-kor jó lesz? Persze, jó lesz." vs. "Figyi, 5 perce letöröltem a levelemet, ebéd után szedd már vissza." A levelezés mentése alatt nagyon könnyű eltérő dolgokat érteni.

- Ami még agyrém, az a spamszűrés. "Dehát a google-nek is kiváló spamszűrője van, nem lehet az olyan nehéz, olyat kérek én is. De főnök, nálunk csak 12 levelesláda van, a google-nél meg hét nagyságrenddel több. Na, ezért könnyebb nálunk, nem kell olyan sokkal foglalkozni." (Általánosságban: nagyon nehéz nem-informatikusoknak elmagyarázni, hogy mi könnyű és mi nehéz, lásd még: http://xkcd.com/1425/)

Kérdés hogy mit tekintesz spamnek. Itthon ugye a nem magánszemélyhez köthető címekre szabadon küldhető DM tartalmú levél (info@, sales@, stb…). Ezt elképesztő mértékben kihasználják, és persze attól, hogy jogilag nem spam, még jogod lenne kiszűrni. Csak éppen baromi nehéz, mert nagyon ügyesen csinálják. Szerintem egyetlen cég áll mögötte, aki talán szolgáltatásként árulja a dolgot, de az is lehet hogy a házon belüli szarjaikat reklámozzák így, ezt nem tudom. Hitel, pénzügyi tanácsadás, kerti locsoló, wifi erősítő, autófényező csodaszer, ésatöbbi baromság reklámozásáról van szó.

Néhány konkrétum ezen levelek kapcsán:

- random, 100%-ban tiszta IP-ről jön, két ugyanolyat még nem láttam, de nem botnet, szerte a világon vásárolnak vps-eket vélhetően, több ezer IP-jük van, és mind makulátlan (amint nem lesz az, nem használják
- valid DKIM, spf
- 0 vagy 1 napos domain a feladóban, a hostnévben, valamint a bodyban levő url-ekben
- a tartalom nyúlfarknyi, nehezen használható emiatt bayesian vagy hasonló szűrő tanítására, 1-2 mondat van benne, + URL-ek, a lényegi rész böngészőben olvasható (már ha valaki ráklikkel)
- a header, az SMTP kommunikáció, és minden egyéb tökéletes, minden RFC-t betart, látszik rajta hogy aki csinálja az eléggé képben van
- greylistet nem szarja le

Ahogy észrevettem, terítenek egy adagot mondjuk reggel. Ekkor a domainek és az IP-k szépen becsorognak a mindenféle blacklist db-kbe (DNS RBL, URIBL, és egyéb shared SpamAssasins lookup források). Úgy dél körűlre el tudod kapni emiatt, de addigra jónéhány betalál. Délután pedig jön az újabb adag, amiben MINDEN ki van cserélve amit a fenti lista tartalmaz (IP, domain, DKIM, minden), és minden ugyanolyan tökéletes és makulátlan mint az első.

Talán a "newborn" domainek miatt lehetne fogást találni rajtuk, de értelem szerűen ezt nem tudod SA-val felpontozni deny szintig, hiszen lehetnek belőle egyéb problémáid. Ezen kívül pedig még mínuszos jutalompontokat is kap (illetve default SA configgal kapna) a DKIM meg az egyebek miatt :)

(Szerk: tízezres nagyságrendű postafiókra van rálátásom, szóval nem 1db cég, 1db info@ fiókja alapján tapasztalom a fentieket).

> Talán a "newborn" domainek miatt lehetne fogást találni rajtuk

En ebben latom legalabb reszben a megoldast.

Amiota megcsinaltak ezeket, jobbara nem is hasznaljak masra, mint spammelesre (legalabbis levelezesben).

Ma tartott egy eloadasockat egy kollega, hogy regen mekkora para volt, ha jott egy hibauzenet, a user elkezdett panikolni, most meg hogy meg a kezunkon meg a zsebunkben is szamitogepeket hordunk, a kinemszarja le kategoriaba tartozik egy hiba. Valoban, ezt is lehet igy is kezelni a helyen.
Helytol fugg, de en pl. most azzal kiserletezgetek, h a a user elfogadja, hogy bekapja neha a spam-eket, cserebe viszont semmi valid-ot nem szur ki a rendszer. Az a nagyon keves, amit viszont igen, azt nem kiszuri, hanem visszautasitja, igy ha a felado is valid, egybol ertesul egyertelmuen.
Persze csak parszarz mailbox-rol van szo, 50k-nal mas a leptek, de az elv talan alkalmazhato:)

Ezen kivul ami szerintem nagyon sokat segithet, az a csapdazas, vmint a human elemzes es az info szetteritese. A csapdazas nyilvan ingyen van, csak kore kell epiteni az AI-t (van ilyen free?).
Az utobbinal meg arra gondolok, hogy jon a spam, mondjuk a AntiSpam Ltd. op-ja frissit egy adatbazis es a megfelelo parameterekkel feltolti az, amiket a levelbol vesz (nyilvan arrol van szo elsosorban, ahol nem jatszik az AI .. pl. uribl). Majd az info-t a kliens szervere megkapja az infot.. Regen a Trendmicro-rol hallottam, h volt vmi hasonlo szolgaltatasa, de nem tudom, hogy a szinfalak mogott errol volt-e valoban szo.
Javitsatok ki, ha hujeseget beszelek:)

Az elejével egyetértek, talán tényleg vállalható dolog manapság az, ha egy 0 napos domainről nem veszel át levelet, alacsonyabb lett az ingerküszöb, stb..

A második fele sajnos nem működik itt, mert az első levelet benyalod úgyis, utána meg hiába elemzed már, a következőnek köze nem lesz hozzá. Erre nagyon figyelnek.

Mindig van vmi kozos pattern.

Vagy ha nincs, akkor a spamnak is szar, igy neki nem eri meg kikuldeni.

Persze sajnos ez sem igaz teljesen, mert nem neztem meg rendesen, de mintha terjedne ket szokas:

1. url roviditon, ill a google.com-on keresztul kuldik (itt mondjuk a szolgaltato felelossege lenne leginkabb megoldast talalni, h ne erje meg neki hasznalni)

2. zombi hostrol kuldeni, feltort webserverre kirakott url

Ez utobbi ellen nem tudom, mit lehetne tenni:)

t

ps.: Jelenleg engem jobban foglalkoztat, h mit lehet tenni az ellen, h en zombi legyek. OK, szurom a 25-os portot, az konnyu. De mi van, ha 465 v. 587-es porton keresztul kuldenek egy nem alam tartozo mail szerveren keresztul. Ill. nem is mailrol, hanem forumokra regisztral a zombi host (443). Hogy lehet ezt kivedeni?

Nincs közös pont, mert mindig mást reklámoz. Ezért is gondoltam, hogy 1db cégről van szó, aki szolgáltatásként árulja ezt. Szóval nem a levelek tartalma miatt veszem egy kalap alá ezeket, hanem a szakmai szemmel nézett "karakterisztika" miatt. A módszer ahogy rotálnak, a random domainek, az spf, dkim, hogy korrekt és profi az SMTP connection level is, ésatöbbi…

Amit írtál két pontot az itt nem nagyon játszik, mire magyar címekre jutnak ilyen spamek (zombi gépről, meg feltört webszerverre kirakott url-el) már réges régen megeszi keresztbe bármilyen normálisan beállított MTA, az SA-ról és társairól meg nem is beszélve. Szóval ezek nem jelentenek gondot.

Hogy ne legyél zombi: nyilván erre nincs megoldás. Hiszen ha megbízol valakiben és kinyitod számára a szolgáltatást (attól most tekintsünk el, hogy teszel e rá IP szűrést, authot, és egyebeket, mert ez alap), akkor tudni fog rajtad keresztül küldeni. Persze korlátozni tudod, alkalmazhatsz ratelimitet, esetleg figyelheted a tartalmat, de tökéletesen soha nem tudod megoldani a dolgot.

> Amit írtál két pontot az itt nem nagyon játszik, mire magyar címekre jutnak ilyen spamek (zombi gépről, meg feltört webszerverre kirakott url-el) már réges régen megeszi keresztbe bármilyen normálisan beállított MTA, az SA-ról és társairól meg nem is beszélve. Szóval ezek nem jelentenek gondot.

Hogyan? Marmint hogyan jobban, mint egyebkent. Amit te irsz, azok is zombirol jonnek (az mind1, h berelt vps a zombi v. feltort gep).

Úgy, hogy itt direktben magyar fiókok a célpontok, és a patyolat tiszta IP tartományok/domainek is direkt erre vannak dedikálva.

Botnetek esetében ritkán látok olyat, hogy ne lennének rajta a populárisabb BL-eken mire hozzám eljutnak. Persze előfordul, hogy ugyanazt a nemzetközi spamet teríti egy botnet, és pár százaléka forrás IP-knek nem akad fent nálam a BL-es acl-eken (csak az utána levőkön), de ez tényleg ritka.

Csökkenő sorrendben pár példa:

- a legtöbb azon hasal el, hogy nem várja meg a greetinget
- hibás adat a HELO után (pl IP cím, vagy feloldható hostnév, aminek semmi köze a túloldal IP -jéhez, "saját nevemmel" helozik, stb..)
- "mail from:"-ban levő domain nem létezik vagy létezik, de nincs A recordja vagy MX-e
- nincs ptr recordja
- spf-en elbukik

Ennél persze jóval több van, de a botok azon kicsi hányada ami nem hasal el a BL-en, az ezeken szokott.

Ja, és ha használnék greylistinget a szervereken, akkor vélhetően azon vérezne el a legtöbb, de én ezzel a megoldással nem értek egyet, nem szeretem (ízlés kérdése, ne nyissunk erről flamet).

En hasznalok, SJ javaslata alapjan zombi gyanus hostokra match-elve (~klasszikus host-okra nincs greylisting, csak pl. ip-111-222-3333-444.dynamic.provider.com hostra.
Igy nem is faj es hatekony is.

Amugy a BL-ek listajara lennek kivancsi, melyikeket hasznalod.

> a legtöbb azon hasal el, hogy nem várja meg a greetinget

Ezt pontosan hogyan is?

Kérdés hogy mit tekintesz spamnek. Itthon ugye a nem magánszemélyhez köthető címekre szabadon küldhető DM tartalmú levél

acsi! Attol meg, hogy 2008 oszen a jogalkoto kiherelte az addig jol-rosszul mukodo szabalyozast, es szabadjara engedte az info@, stb. cimek ipari meretu megszorasat, attol az meg spam, amit teljesen jogosan route-olhatsz a kukaba. Nem csak lenne, hanem van is jogod kiszurni.

- greylistet nem szarja le

igen, mar egy jo ideje a hangsuly attevodott a botnetekrol a vps-ekre, amikre feldobnak egy postfixet, aztan hadd szoljon, az siman atmegy minden smtp teszten. Nyilvan barmelyik szolgaltatonal megesik, hogy egy fereggel is szerzodest kot, de vannak olyanok is, ahol a fergek jol erzik magukat, igy ott koncentraltabban jelennek meg. Egy kedvenc (sic!) a hostwinds, de sajnos Mo-n is vannak ilyenek.

amiben MINDEN ki van cserélve amit a fenti lista tartalmaz (IP, domain, DKIM, minden), és minden ugyanolyan tökéletes és makulátlan mint az első.

tudnal feltenni parat teljes fejleccel a pastebin-re? (obfuszkald ki a te cimeidet, vagy kuldd el privatban) Kivancsi vagyok, hogy az en token halmazom mire megy veluk.

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

"...amit teljesen jogosan route-olhatsz a kukaba. Nem csak lenne, hanem van is jogod kiszurni."

Hahó, ott írtam le ugyanezt abban a hsz-ben amire válaszoltál :)

"barmelyik szolgaltatonal megesik, hogy egy fereggel is szerzodest kot, de vannak olyanok is, ahol a fergek jol erzik magukat"

Igen, ebbe az irányba fogok én is menni. Szépen elkezdem ezeket összeszedni/tiltogatni AS alapján, szerintem az életben nem lesz belőle fals pozitív úgysem, teljesen egzotikus helyek ezek. Előbb-utóbb talán elfogynak, akár az is lehet hogy már most is fix, kis számú céggel dolgoznak, csak lusta voltam összeszedni/átnézni.

"tudnal feltenni parat teljes fejleccel a pastebin-re?"

Aham, mindjárt keresek egy tipikusabbat.

A jo spam-et meg a gmail is benyeli.

Nekik annyi elonyuk van, hogy van a usereknek SPAM gombja, amit persze felhasznalnak azon nyomban. Es amig a user nem 'latta' az inbox-ban a spam-et, akar ki is lehet szedni onnan utolag is, ugye.

Ez a visszacsatolas nagyon hianyzik a ceges mail-szervereken. Legjobban a userek tudjak, mi a spam, igenis kene, hogy legyen egy gombjuk a filter tanitasara.

mar en is agyaltam azon, hogy lehetne utolagos spamszurest csinalni. pl most 1kor megkapja a szerver a levelet, ilyenkor nemjeloli spamnak, aztan megokosodik, igy kesobb mar spamkent kene jelolnie a levelet, es mire az user 9kor elkezdi a munkat, mar csak azt latja hogy nincsen szemete/spamfolderbe kerult a level.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

pl. ha a kliensen fut a spamszuro, ami ossze van okositva a szerveroldallal. Vagy ha a szerveroldalon egy program par oraval kesobb atnezi az inboxokat, es korrigal, ha kell. Ez foleg a virusszuresnel lehet meg erdekesebb, pl. amikor a level beerkezik, meg nem ismeri fel a malware-t, de orakkal kesobb mar igen.

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

"1-2 mondat van benne, + URL-ek, a lényegi rész böngészőben olvasható (már ha valaki ráklikkel)"

A levélben lévő URL-ek alapján kellene valahogy megfogni.
Pl. céges policy nem fogadsz olyan levelet, amiben klikkelhető URL van.
Ha mégis beengeded elérni hogy az URL ne legyen klikkelhető.
--
Légy derűs, tégy mindent örömmel!

( VincentV | 2014. 11. 06., cs – 12:30 )

Egy jól összerakott rendszernél én azt tapasztalom hogy 9x%-ban user error, és a Zizi által is említett félreértésekből adódnak a problémák, szinte csak ilyenekkel kell foglalkozni.

A teljesség igénye nélkül:

- asztalcsapkodás hogy XY levelét miért nem kapja meg (mert blaclisten volt XY MTA-ja, de magyarázd ezt meg az userednek)
- freemailre nem tud küldeni (mert nem megy, de magyarázd el neki)
- betelt a fiókom, csinálj valamit (törölj bazmeg, vagy beszélj az illetékessel és kérj több tárhelyet)
- Józsinak 2 hete kértük hogy töröljétek a fiókját, mert felmondott. De tegnap jött rá egy fontos levél, meg tudjátok ezt nekünk KERESNI?

stb stb…

Egyetlen dolgot tudok mondani, amit üzemeltetési oldalon hibának érzek, de nem tudok vele mit kezdeni, azok pedig az info@, support@, sales@ stb..-re érkező magyar "spamek". Sokat elkapunk, de pár azért bejut, és ezek nagyon nagyon ügyesek. Ez akár lehetne egy külön thread témája, nem akarok ide szemetelni, nyitok majd egy új topicot neki inkább.

- betelt fiok megoldasa(?): kvota betelese elott par figyelmezteto level, hogy "jolenne torolni, mert mar csak X byte van szabad a kvotabol, esetleg hivni az illetekest es kvotat emeltetni"
- a "Jozsinak levele jott, de mar nem itt dolgozik" problemara a megoldas: jozsi@akarmi cim-re kuldott level eseten hibauzenet a kuldonek a kovetkezo szoveggel: "Jozsi mar nem dolgozik itt, kerjuk keresse Jolankat jolanka@akarmi cimen vagy vegye fel a kapcsolatot titkarno@akarmi cimen az csoportjaval."

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

" kvota betelese elott par figyelmezteto level, hogy "jolenne torolni, mert mar csak X byte van szabad a kvotabol, esetleg hivni az illetekest es kvotat emeltetni""

MUHAHAH

"a "Jozsinak levele jott, de mar nem itt dolgozik" problemara a megoldas…."

Nem akartam a részletekbe belemenni, de itt nem igazán alkalmazottakról van szó, hanem ügyfelekről, illetve van olyan hely ahol igen, de ott meg cége válogatja hogy milyen policyt akarnak követni ennek kapcsán.

Azért ezek jól kezelhető dolgok. Kvótáról értesítő email alap, ha nem értik, akkor hát sajnos az nem IT issue. Ha elmegy valaki egy cégtől, akkor a helyette érkező kolléga címére irányítható a levél vagy akár automatikus válasz is beállítható erről a dologról. Ez utóbbi megint nem IT issue már 2014-ben.

"Azért ezek jól kezelhető dolgok. Kvótáról értesítő email alap, ha nem értik"

MUHAHA = nyilván van ilyen, de nem értik, lepereg

"akkor hát sajnos az nem IT issue"

És nem ugyanezt írtam én is a felsorolás elejére?

Hostolt szolgáltatásnál pedig nincs olyan hogy valaki elmegy a cégtől, max az van, hogy felmondja a szerződést, vagy törli a címét, és létrehoz egy másikat, majd később meggondolja. Tudom, hogy először 1db céget írtam példának, de nem gondoltam, hogy ennyire bele fogunk menni, ezért kettővel fentebb írtam is, hogy itt nem egészen 1db zárt corporate cuccról van szó.

Inkább a leszarással találkoztam, bár voltak meglepődések is, de kikérés még nem. Ezeknek mindíg megírom, hogy vagy a policy vagy pedig a megvett szolgáltatás ezt tartalmazza és hogy a bővítés ügyében mit lehet (ha lehet egyáltalán) tenni. Biztos elkönyvelnek idiótának, de nem köt le. :)

Igen, szinte kizárólag user error, és szinte mindig a "már megint rossz a levelezés, mert nem kaptam meg egy fontos levelet" jellegű probléma jön elő.
Aminek - elmúlt pár évben - a következő okai voltak:

1. a leggyakoribb, ez teszi ki a problémák kb. felét, hogy nincs is olyan levél, mert:
- egész egyszerűen nem küldték el azt a levelet,
- esetleg elküldték, csak nem neked,
- esetleg neked is akarták, csak épp elírták az email címedet,
stb.

2. de, megkaptad azt a levelet (ez kb. a problémák 40%-a), csak:
- kitörölted,
- az outlook-od valamiért a spam mappába rakta,
- olyan filterkatyvaszt hoztál össze outlook-ban, hogy én nem fogom megérteni, de ha kikapcsolod akkor megkapod,
- rosszul keresed (!!!), pedig ott van a mailbox-odban,
- addig nyomogattad az iphone-odat, amíg elállítottad az email klienst,
stb...

Szóval ez teszi ki a 90%-ot, a maradék a blacklist, a vírusos csatolmány, az elkonfigolt spf és a satöbbi.

A "már megint rossz a levelezés" témában meg az az igazság, vagy egy évben 5 ilyen eset, és ebből 4 veled fordul elő...

( Tassadar v | 2014. 11. 06., cs – 12:49 )

Mivel a levelezés egy nehezen kezelhető, strukturálatlan adathalmaz, ezért ahol lehet értelmesebb alternatívát ajánlok: cég számára irreleváns csevegés IM-el, belső releváns kommunikáció - ahol lehet - issue kezelővel.

na de (imho) egy atlagceg szamara aligha megoldhato a belso kommunikacio issue trackerre helyezese. Szerintem a belso kapcsolattartas issue trackeren, a kulso meg emailen csak noveli a kaosz faktort. Btw. milyen struktura jelentene a levelezesben neked megoldast?

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

( dap | 2014. 11. 06., cs – 23:43 )

KKV-k az ügyfeleink, jellemzően Google Apps, pár száz mailbox.

Korábban saját rendszerek voltak, főleg a mobil adta meg nekik a kegyelemdöfést, nem lehetett versenyezni a Google-lel amikor berobbant az Android. Mindennél egyszerűbb és rugalmasabb volt a Gmail. Hát igen, többnyire IT cégek, bleeding edge tech-en. Nem bánom.

( msandor v | 2014. 11. 07., p – 14:28 )

adminként az a legnagyobb bajom, hogy a levelezést kivették a kezünkből, semmi rálátásunk/ráhatásunk nincs már a dologra
az a saját véleményem, hogy ez sokkal drágább a cégnek, és főleg sokkal rugalmatlanabb

hogy mást ne mondjak:
- fix 500MB quota, akkor is ha te vagy a legnagyobb boss
- a levelezés csak a céges hálóról érhető el, publikusan nem(!)
- néha nem érkeznek meg levelek

mondj meg errol tobbet, pl. hogy attol meg, hogy a te/ti kezedbol kivettek a levelezest, az maradt-e a ceges halon? Mi valtozott, hogy dragabb, rugalmatlanabb lett a cegeteknek? Hogy elik meg a felhasznalok az 500 MB-os mail kvotat? Miert nem lehet megduplazni? (Koltseg?)

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

belső hálón maradt, de átkerült az amcsikhoz
drágább, mert userenként fizetünk x eurót, eddig meg volt egy rég megvásárolt Lotus Notes-unk, aminek mindegy volt, hogy 100 vagy 150 user lóg rajta, és a quota a diszk széléig ért :-)

rugalmatlanabb, mert bármi baj van vele, levél ki az amcsiknak, a sok órás időeltolódás miatt jó ha másnapra jön a válasz, nem a megoldás

a quota nem tudom miért ennyi, de fix, punktum

( lajos22 | 2014. 11. 07., p – 23:25 )

Majd később olvasok.

--
openSUSE 13.1 x86_64