D-Link • Просмотр темы - DFL 860E Мониторинг email

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL 860E Мониторинг email

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 11 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

zaqwerty17

Заголовок сообщения: DFL 860E Мониторинг email

Добавлено: Пн сен 01, 2014 12:05

Зарегистрирован: Чт июл 31, 2014 08:45
Сообщений: 25

Доброго дня!
Имеется exchange server работающий через DFL 860e, в котором настроен проброс портов с правилом блокировки сообщений имеющие вложения(exe, bat...) и атиспамом(DNSBL).

Как сделать так что бы в логах писался не ip, а домен отправителя или даже ящик(vasya@domen.ru)?
И не понятно когда сообщение не доходит(DFL блокирует его) как увидеть это в логах?

_________________
Syslog Watcher4 VendorPack DFL 860e(+ Аналоги)
Скачать
Могут быть ошибки, сделано на скорую руку. Будьте внимательней.

Вернуться наверх

YuriAM

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Пн сен 01, 2014 12:52

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

zaqwerty17 писал(а):

Как сделать так что бы в логах писался не ip, а домен отправителя или даже ящик(vasya@domen.ru)?

Никак

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вернуться наверх

Vladimir22

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Пн сен 01, 2014 13:28

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва

Ну если к этому IP привязан домен - то собирать в сислог и дальше резольвить :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Пн сен 01, 2014 20:41

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Если DFL блокирует именно почтовое сообщение (средствами SMTP ALG), логи у вас будут.
Другой вопрос, если блокируется на уровне IP rules - тут до почты далеко, только IP.
По страндарту, почта должна идти только с адресов, указанных в MX - выяснить их можно командой nslookup -type=mx domen.ru

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

zaqwerty17

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Ср сен 03, 2014 10:24

Зарегистрирован: Чт июл 31, 2014 08:45
Сообщений: 25

Понять ничего не могу..
Настроен проброс портов

Вложение:

1.png [ 8.94 KiB | Просмотров: 3409 ]

Если использовать просто сервис smtp без всяких фильтров то почта ходит отлично и с вложениями.
Если же, использовать сервис с ALG то письма с любыми вложениями блокируются, хоть .doc, .zip
хотя в правиле указанно только эти

Вложение:

2.png [ 22.48 KiB | Просмотров: 3409 ]

Что не так делаю?

Вернуться наверх

zaqwerty17

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Ср сен 03, 2014 19:16

Зарегистрирован: Чт июл 31, 2014 08:45
Сообщений: 25

Заметил что письма с вложениями с включенным правилом ALG (smtp-inbound) не приходят только от mail.ru(известно пока только про него).

С других почт все прекрасно работает, письма с вложением доходят, если в письме приложен файл который блокируется в правиле письмо доходит но с блокировкой "BlockedAttachment.txt" (в котором написано test.exe заблокирован) Так и должно все работать! Только mail.ru почему то касячно отправляет письма....
Пробовал добавлять mail.ru в белый лист, безрезультатно!(

Кто нибудь сталкивался с этим? Выручайте, а то в данный момент приходится работать без ALG, спама много(

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Чт сен 04, 2014 21:12

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Смотрите логи, что на письма от mail.ru

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

zaqwerty17

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Пт сен 05, 2014 12:17

Зарегистрирован: Чт июл 31, 2014 08:45
Сообщений: 25

Вот Лог если письмо без вложения.(письмо приходит)

Скрытый текст: показать

Код:

09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:04] FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=smtp_in_allow conn=close connipproto=TCP connrecvif=wan1 connsrcip=94.100.178.94 connsrcport=45225 conndestif=core conndestip=x.x.x.x conndestport=25 origsent=2344 termsent=1099

09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:04] FW: ALG: prio=1 id=00200002 rev=1 event=alg_session_closed algmod=smtp algsesid=1428
09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:03] FW: ALG: prio=1 id=00200185 rev=1 event=unsupported_extension action=capability_removed capa=CHUNKING algmod=smtp algsesid=1428

09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:03] FW: ALG: prio=1 id=00200185 rev=1 event=unsupported_extension action=capability_removed capa=STARTTLS algmod=smtp algsesid=1428

09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:03] FW: ALG: prio=1 id=00200185 rev=1 event=unsupported_extension action=capability_removed capa=PIPELINING algmod=smtp algsesid=1428

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900814 rev=1 event=dnsbl_ipcache_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 result=Accepted

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900812 rev=1 event=dnsbl_session_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=bl.spamcop.net query=94.178.100.94.bl.spamcop.net

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=sbl.spamhouse.org query=94.178.100.94.sbl.spamhouse.org

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=dnsbl.sorbs.net query=94.178.100.94.dnsbl.sorbs.net

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=dul.ru query=94.178.100.94.dul.ru

09.2014 11:50,Notice,172.24.126.1,[2014-09-05 11:53:03] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=cbl.abuseat.org query=94.178.100.94.cbl.abuseat.org

09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:03] FW: ALG: prio=1 id=00200001 rev=1 event=alg_session_open algmod=smtp algsesid=1428 connipproto=TCP connrecvif=wan1 connsrcip=94.100.178.94 connsrcport=45225 conndestif=core conndestip=x.x.x.x conndestport=25 origsent=96 termsent=44

09.2014 11:50,Info,172.24.126.1,[2014-09-05 11:53:03] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=smtp_in_allow satdestrule=smtp_in_sat conn=open connipproto=TCP connrecvif=wan1 connsrcip=94.100.178.94 connsrcport=45225 conndestif=lan conndestip=x.x.x.x conndestport=25

Лог с вложением в письме (письмо не приходит)

Скрытый текст: показать

Код:

09.2014 11:54,Info,172.24.126.1,[2014-09-05 11:56:37] FW: ALG: prio=1 id=00200185 rev=1 event=unsupported_extension action=capability_removed capa=CHUNKING algmod=smtp algsesid=1429

09.2014 11:54,Info,172.24.126.1,[2014-09-05 11:56:37] FW: ALG: prio=1 id=00200185 rev=1 event=unsupported_extension action=capability_removed capa=STARTTLS algmod=smtp algsesid=1429

09.2014 11:54,Info,172.24.126.1,[2014-09-05 11:56:37] FW: ALG: prio=1 id=00200185 rev=1 event=unsupported_extension action=capability_removed capa=PIPELINING algmod=smtp algsesid=1429

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900814 rev=1 event=dnsbl_ipcache_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 result=Accepted

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900812 rev=1 event=dnsbl_session_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=bl.spamcop.net query=94.178.100.94.bl.spamcop.net

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=sbl.spamhouse.org query=94.178.100.94.sbl.spamhouse.org

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=dnsbl.sorbs.net query=94.178.100.94.dnsbl.sorbs.net

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=dul.ru query=94.178.100.94.dul.ru

09.2014 11:54,Notice,172.24.126.1,[2014-09-05 11:56:37] FW: ANTISPAM: prio=2 id=05900817 rev=1 event=dnsbl_query_add action=none type=dnsbl algname=smtp-inbound ipaddr=94.100.178.94 blacklist=cbl.abuseat.org query=94.178.100.94.cbl.abuseat.org

09.2014 11:54,Info,172.24.126.1,[2014-09-05 11:56:36] FW: ALG: prio=1 id=00200001 rev=1 event=alg_session_open algmod=smtp algsesid=1429 connipproto=TCP connrecvif=wan1 connsrcip=94.100.178.94 connsrcport=48338 conndestif=core conndestip=x.x.x.x conndestport=25 origsent=96 termsent=44

09.2014 11:54,Info,172.24.126.1,[2014-09-05 11:56:36] FW: CONN: prio=1 id=00600001 rev=1 event=conn_open rule=smtp_in_allow satdestrule=smtp_in_sat conn=open connipproto=TCP connrecvif=wan1 connsrcip=94.100.178.94 connsrcport=48338 conndestif=lan conndestip=x.x.x.x conndestport=25

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Пт сен 05, 2014 19:50

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Ничего подозрительного не видно.
А настроить на почтовом сервере эту политику - не вариант?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

zaqwerty17

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Пн сен 15, 2014 14:37

Зарегистрирован: Чт июл 31, 2014 08:45
Сообщений: 25

danilovav писал(а):

Ничего подозрительного не видно.
А настроить на почтовом сервере эту политику - не вариант?

Настроил пока все на exchange.

Заметил что в логе если письмо доходит появляется такая строчка

Код:

FW: CONN: prio=1 id=00600002 rev=1 event=conn_close action=close rule=smtp_in_allow conn=close connipproto=TCP connrecvif=wan1 connsrcip=94.100.178.94 connsrcport=45225 conndestif=core conndestip=x.x.x.x conndestport=25 origsent=2344 termsent=1099

, а если письма нет соответственно эта строчка в логе не появляется...
почему так происходит?

Вернуться наверх

DeltaX

Заголовок сообщения: Re: DFL 860E Мониторинг email

Добавлено: Сб окт 11, 2014 10:57

Зарегистрирован: Чт мар 10, 2011 13:36
Сообщений: 36

zaqwerty17 писал(а):

Понять ничего не могу..
Настроен проброс портов
Если использовать просто сервис smtp без всяких фильтров то почта ходит отлично и с вложениями.
Если же, использовать сервис с ALG то письма с любыми вложениями блокируются, хоть .doc, .zip
хотя в правиле указанно только эти
Что не так делаю?

У меня аналогичная ситуация.
Фильтр настроен блокировать .exe, .com, .vbs и т.п., но отфильтровываются вложения .zip, xlsx, xls также, как вы описывали, хотя они не включены в список блокировки. В итоге прилетает «BlockedAttachment.txt». Хотя остальные вложения .rar, .doc проходят нормально.
DFL-1600 в HA FW:2.27.08.03-22677

Полечить получилось таким образом:
1. Активирую опцию «Проверка типа файла по MIME.»
2. Сохраняю конфигурацию.
3. Затем опять диактивирую опцию и также сохраняю конфигурацию.

После этих манипуляций проблема исчезла.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 11 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 325

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения