Thaiadmin

ใครที่มักเป็นโจทย์กับ Barracuda บ้างครับ

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ sodsai

  • *
  • 2
  • 0
ใครที่มักเป็นโจทย์กับ Barracuda บ้างครับ
« เมื่อ: 2 มิถุนายน 2014, 12:22:18 »
ใครที่มักเป็นโจทย์กับ Barracuda  บ้างครับ   :'(
เอา Domain เราไปติด Block List    แล้วบอกมาแค่นี้  (ด้านล่าง)

คำถาม 

1..  กรณี  SMTP  Server , Domain Name, หรือ IP  เราติด  Block List      ของ  Barracuda แล้วสามารถ  สโคปได้ว่าเป็นที่จุดไหน  บอกตรงจุด (กรณีไม่ได้ใช้งาน barracuda web filter )

2..  ถ้าต้องใช้  SMTP Gateway  เราจะใช้ของเจ้าไหนดี และถ้าใช้ของ  Barracuda แนะนำบล๊อก ควรใช้รุ้นไหนดี  User  480-600  คน

3..  ถ้ามีเทคนิคอื่นๆ  แนะนำมาได้ครับ
       ส่วนตัวผมคิดว่า   จะทำ  SMTP  มาซัก 2-3  ตัว (คนละ Domain)   แล้วเปลี่ยนเอาเวลา  ติด  Block List      ของ  Barracuda   หมุนวนเอา
แต่มันดูไม่โปร  ยังไงไม่รู้  อยากรู้วิธีการแก้ไขที่ ยั่งยืนมากกว่า

หมายเหตุ   ส่วนมากเป็นกับ  User  ฝ่ายขาย หรือจัดซื้อ ต่างประเทศ เพราะต้อง รับ-ตอบ  mail  จาก  ต่างประเทศ  ในประเทศ  ไม่ค่อยเจอปัญหา
.............................................................................................
We apologize for any inconvenience that this may have caused you. We have removed xxx.xxx.xxx.xxx from our blocklist for 30 days, at which time it will be re-evaluated.

There are a number of reasons your IP address may have been listed as "poor", including:
•   The email server at this IP address contains a virus and has been sending out spam
•   The email server at this IP address may be configured incorrectly
•   The PC at this IP address may be infected with a virus or botnet software program
•   An individual in the organization at this IP address may have a PC infected with a virus or botnet program
•   This IP address may be a dynamic IP address which was previously utilized by a known spammer
•   The marketing department of a company at this IP address may be sending out bulk emails that do not comply with the CAN-SPAM Act
•   This IP address may have a insecure wireless network attached to it which could allow unknown users to use it's network connection to send out bulk email
•   In some rare cases, your recipients' Barracuda Spam Firewall may be misconfigured
If you do not think any of the above apply, please also contact the person who manages this IP address, as they may be better able to investigate this issue.

Thank you for your time and understanding.

Barracuda Central by Barracuda Networks

ออฟไลน์ mana_sa

  • *****
  • 270
  • 5
Re: ใครที่มักเป็นโจทย์กับ Barracuda บ้างครับ
« ตอบกลับ #1 เมื่อ: 2 มิถุนายน 2014, 13:13:22 »
K.Sodsai ได้ตรวจสอบว่าติด Black list ที่อื่นบ้างหรือเปล่าครับ?

ลองใช้ https://rblwatcher.com/ ตรวจสอบดูก่อน โดยใส่ IP ของ domain ของคุณไปตรวจสอบดู  


ที่กล่าวมานั้น ผมกำลังจะสื่อว่า Barracuda ไม่ขึ้น Black list มั่วน่ะครับ  ผมเจอมาหลายทีแล้ว ส่วนใหญ่ก็มีปัญหานั้น ตัวเราเองนั่นแหละที่ไปยิงชาวบ้านเขา  และโดยส่วนใหญ่เลยที่เป็นแบบนี้ได้ ก็คือ

1. เรามีการทำ sasl authentication เพื่อให้ user สามารถส่งเมล์ภายนอกได้

2. จากข้อ 1 มีหลายเหตุการณ์ เช่น
    2.1 มีสแปมเมล์ใช้ smtp script และ รู้พาสเวิร์ดของ user mail เราจริงๆ  ซึ่งก็ไม่รู้ว่าเขารู้ได้อย่างไร? อย่างนี้เปลี่ยน password หายเลยครับ หยุดส่งทันที
    2.2 บางทีก็มี PC ในองค์กร โดนอะไรไม่ทราบ  เป็นตัวส่ง password ออกไป เปลี่ยน password อย่างไรก็ตาม แป๊ปเดียว ก็โดนอีก ต้อง Format เครื่องเลย หายเป็นปลิดทิ้ง

จนกระทั่งปัจจุบัน ผมต้องใช้วิธีตรวจสอบด้วย script ว่า ในช่วงเวลาหนึ่งๆ เราจะมี queue ไม่เกิน xxx ถ้าเกินนี้แสดงว่า เราโดนยืมใช้ยิง spam mail แล้ว  ต้องรีบตรวจสอบทันที

ตรวจสอบอย่างไร
1. มันจะมี queue mail เต็ม smtp gateway ของเรา และชื่อก็แปลกๆเช่น xxdydk@mydomain.com  เราจะเห็นว่า domain เป็นของเรา แต่ user ไม่มีชื่อนี้แน่

2. เมื่อเห็น user แปลกๆในข้อ 1 แล้ว ให้ทำการดู log โดยการค้นหา log โดยการ grep ในส่วนชื่อ sasl_username แทน โดย list คนที่ส่งมาก ส่วนใหญ่เราจะเห็นเป็นชื่อ คนๆเดียว ซึ่งเป็นชื่อที่มีในบริษัทของเรา  แต่มีคนภายนอกรู้ password ทำให้ถูกยิง spam

เมื่อตรวจสอบแล้ว ควรจะมีการป้องกัน
1. ป้องกันการเดา password ให้มีการ lock IP ต้นทาง ที่พยายามเดาพาสเวิร์ดที่ smtp server ของเรา

2. บังคับให้ user เปลี่ยน password ตามช่วงเวลา

ปล. Barracuda เป็น SMTP gateway ที่ดีตัวหนึ่งครับ และ Remove RBL ของ Barracuda ก็ปลดง่ายน่ะครับ Request ไปแป๊ปเดียว ถ้าเขาตรวจสอบว่าไม่มีการยิง Spam แล้วไม่นานมาก ก็ปลด Black list ออกแล้ว

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ sodsai

  • *
  • 2
  • 0
Re: ใครที่มักเป็นโจทย์กับ Barracuda บ้างครับ
« ตอบกลับ #2 เมื่อ: 2 มิถุนายน 2014, 15:10:06 »
ขอบคุณมากครับ  K.mana_sa

ผมเช็ค จากหลายๆ ที่แล้วครับ  ส่วนมากจะติด  Barracuda 
จึงอยากรู้ว่า โดนเพราะอะไร
ที่เช็ค ส่วนมาก

http://www.dnsbl.info/dnsbl-database-check.php

http://mxtoolbox.com/SuperTool.aspx?action=mx%3a203.150.224.15&run=toolpage#

http://www.blacklistalert.org/


2. จากข้อ 1 มีหลายเหตุการณ์ เช่น
    2.1 มีสแปมเมล์ใช้ smtp script และ รู้พาสเวิร์ดของ user mail เราจริงๆ  ซึ่งก็ไม่รู้ว่าเขารู้ได้อย่างไร? อย่างนี้เปลี่ยน password หายเลยครับ หยุดส่งทันที
    2.2 บางทีก็มี PC ในองค์กร โดนอะไรไม่ทราบ  เป็นตัวส่ง password ออกไป เปลี่ยน password อย่างไรก็ตาม แป๊ปเดียว ก็โดนอีก ต้อง Format เครื่องเลย หายเป็นปลิดทิ้ง
ตอบ
2.1  และ   2.2   ผมจะแก้ไขโดย  เปลี่ยน  Post  ssl  จาก   25 กับ  110   น่าจะลดการดักจับ  password  กลางทางได้
ส่วนการ  Monitor  ดูการส่ง ก็จะมี  Report  ทุก  เที่ยงคืน  ถ้าให้  Monitor  Real time  คงไม่ไหว

ป้องกันการเดา password ให้มีการ lock IP ต้นทาง
ตอบ   อันนี้หน้าเวปผม  ทำไว้ว่า  Login ผิด   5  ครั้ง ให้  Block IP   15  นาที
         ถ้าผ่าน  SMTP   ส่งมามั่วๆ   ก็จะแบน   15  นาที เช่นกัน


ส่วน   Remove RBL ของ Barracuda  ใช่ครับ  ไม่นาน  แต่  เป็นบ่ายๆ  จะ เริ่ม นานครับ

สรุปก็คือ   ถ้าสามารถรู้ได้ว่าโดน   Barracuda   แบน  IP  เพราะอะไร  ก็จะง่าย  ในการสโคป  หาปัญหา นะครับ
ส่วนวิธีทั้งหมดที่ K.mana_sa  กล่าวมาก็ทำเกือบหมดแล้วครับ

เลยคิดว่า  ถ้าอย่างนั้น  ผมใช้  barracuda spam filter  จะลดปัญหา  SMTP  ผม  ติด  Blacklist  จาก  barracuda  ได้หรือไม่

ออฟไลน์ mana_sa

  • *****
  • 270
  • 5
Re: ใครที่มักเป็นโจทย์กับ Barracuda บ้างครับ
« ตอบกลับ #3 เมื่อ: 3 มิถุนายน 2014, 11:25:32 »
ขอบคุณมากครับ  K.mana_sa

ผมเช็ค จากหลายๆ ที่แล้วครับ  ส่วนมากจะติด  Barracuda  
จึงอยากรู้ว่า โดนเพราะอะไร
ที่เช็ค ส่วนมาก

http://www.dnsbl.info/dnsbl-database-check.php

http://mxtoolbox.com/SuperTool.aspx?action=mx%3a203.150.224.15&run=toolpage#

http://www.blacklistalert.org/


2. จากข้อ 1 มีหลายเหตุการณ์ เช่น
    2.1 มีสแปมเมล์ใช้ smtp script และ รู้พาสเวิร์ดของ user mail เราจริงๆ  ซึ่งก็ไม่รู้ว่าเขารู้ได้อย่างไร? อย่างนี้เปลี่ยน password หายเลยครับ หยุดส่งทันที
    2.2 บางทีก็มี PC ในองค์กร โดนอะไรไม่ทราบ  เป็นตัวส่ง password ออกไป เปลี่ยน password อย่างไรก็ตาม แป๊ปเดียว ก็โดนอีก ต้อง Format เครื่องเลย หายเป็นปลิดทิ้ง
ตอบ
2.1  และ   2.2   ผมจะแก้ไขโดย  เปลี่ยน  Post  ssl  จาก   25 กับ  110   น่าจะลดการดักจับ  password  กลางทางได้
ส่วนการ  Monitor  ดูการส่ง ก็จะมี  Report  ทุก  เที่ยงคืน  ถ้าให้  Monitor  Real time  คงไม่ไหว

ป้องกันการเดา password ให้มีการ lock IP ต้นทาง
ตอบ   อันนี้หน้าเวปผม  ทำไว้ว่า  Login ผิด   5  ครั้ง ให้  Block IP   15  นาที
         ถ้าผ่าน  SMTP   ส่งมามั่วๆ   ก็จะแบน   15  นาที เช่นกัน


ส่วน   Remove RBL ของ Barracuda  ใช่ครับ  ไม่นาน  แต่  เป็นบ่ายๆ  จะ เริ่ม นานครับ

สรุปก็คือ   ถ้าสามารถรู้ได้ว่าโดน   Barracuda   แบน  IP  เพราะอะไร  ก็จะง่าย  ในการสโคป  หาปัญหา นะครับ
ส่วนวิธีทั้งหมดที่ K.mana_sa  กล่าวมาก็ทำเกือบหมดแล้วครับ

เลยคิดว่า  ถ้าอย่างนั้น  ผมใช้  barracuda spam filter  จะลดปัญหา  SMTP  ผม  ติด  Blacklist  จาก  barracuda  ได้หรือไม่

สิ่งที่แปลก คือ  โดนที่ Barracuda ที่เดียว  แต่ผมก็ไม่เห็นด้วยที่จะใช้ barracuda spam filter เผื่อเจอที่อื่น แล้วเขามี product เหมือน barracuda ก็ต้องซื้ออีก ตอนนี้เราหาสาเหตุที่ตัวเราไม่ได้  

ผมว่าเราติดต่อไปยัง Barracuda โดยตรงดีกว่า  ถามเลยว่าเราโดนเพราะสาเหตุอะไร? Barracuda จะมีข้อมูลที่เราจะมาหาต่อที่ SMTP gateway ของเราได้  เพราะ RBL แต่ละที่ เขาจะมีข้อมูลนี้อยู่แล้วครับ  

อย่างผมโดนผมรู้จริงๆ เช่น วันหนึ่งเมล์เข้าออกประมาณ 10,000 ฉบับ  ถ้าโดน Spam มันเพิ่มอย่างเมามันเลยครับคือ อย่างต่ำก็ 50,000 ส่วนใหญ่ใกล้แสน ซึ่งถ้ายิงไปเมล์ใหญ่ เช่น hotmail gmail yahoo เขาจะยังไม่ปฏิเสธ  แต่จะปฏิเสธในรหัส 4 เพื่อให้คิวค้างที่เราก่อน  ซึ่งเราจะเห็นเมล์ผิดปกติจากกลุ่มนี้ได้ทันที  โดยที่ผมเขียน script ตัวสอบคิวเมล์เหล่านี้นี่แหละ ทุกชม.

K.sodsai เคยดู mail GW บ้างหรือเปล่าครับว่า คิวที่ใช้งานอยู่ค้างมากที่สุดเท่าไหร่?  เช่นเมล์ผมไม่เคยค้างเกิน 70-80 เลย ผมก็ตั้งไว้ว่าถ้าคิวเมล์ผมเกิน 200 ยิงเมล์มาหาผมด้วย

ปล. K.sodsai ใช้ mail server และ mail GW ของใครครับ?

ปล. Barracuda Listing Methodology

How IP Addresses Are Classified

When email is received, the connection is automatically analyzed to determine if the connecting machine is either an open proxy or a node in a spam-generating botnet. If either is true, the IP address is immediately added to the Barracuda Reputation Block List (BRBL). The BRBL only lists single IP addresses.

Most IP addresses are listed as a result of directly sending spam or viruses to the Barracuda Reputation System's detectors. The Barracuda Reputation System detects spam by using honeypots, special addresses created to receive only spam and do not belong to any real user and through analysis of captive spyware protocol activity. In addition, the BRBL leverages some data derived from the Barracuda Blocklist (BBL) that is delivered to Barracuda Spam & Virus Firewalls as part of Barracuda Networks' product offerings.

Users that place multiple computers behind a NAT gateway/firewall system should block all outgoing port 25 traffic from all computers which have not been explicitly configured and maintained specifically as email servers. A single infected machine sending spam out through a network utilizing NAT can result in blocked email from the whole LAN.
« แก้ไขครั้งสุดท้าย: 3 มิถุนายน 2014, 11:35:26 โดย mana_sa »
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย