Что за фигня(spam)?

[katit]

Короче я уже слегка фигею.
Что у нас есть:

1. AVG на Exchange
2. AVG на каждой машине

Теперь:

наши потенциальные клиенты получают junk с адресов наших sales-людей
Как вы все понимаете не очень красиво...

Как можно проверить или мыло пошло отсюда (из компании) или от провайдера (мы не хостим сервер у нас). Или оно вообще от нас пошло?

У нас нет админа, а я программер. посоветуйте где там в Exchange это посмотреть можно(отправленные письма). Насколько я понимаю, если письмо не ушло отсюда, то там его и не будет. Верно?

Спасибо!

[Searcher]

Смотреть надо не у вас, а у тех кто получил письмо. И смотреть надо служебные заголовки (view -> headers -> all). Тогда можно определить с какого IP (именно IP!) это письмо было получено их mail-сервером. Ну и делать выводы.

[katit]

Это понятно. Но неужели в Exchange нельзя посмотреть или оно ушло из нашего сервера.

Как вы представляете salesperson просит prospect (который только email умеет читать) о заголовках??

Т.е. если отвечать то надо сделать минимум домашней работы

[Searcher]

А если это сделано с затрояненой машины стоящей у вас? Никаких следов в outbox вы не увидите. Тем более что многие последние вирусы имели свои собственные smtp-серверы. Наличие AVG тоже еще ничего не гарантирует. Сначала появляются вирусы, а уже после противоядия на них.
Я это все к тому, что даже посмотрев логи в mail-сервере и outbox локальной машины нельзя утверждать что с нее ничего не отправлялось.

Поэтому ответом на ваш вопрос "Как можно проверить..." и является то что я написал ранее.

А вот вопрос "Как вы представляете..." - это уже совсем другой вопрос. На него у меня нет ответа.

[A. Fig Lee]

Это понятно. Но неужели в Exchange нельзя посмотреть или оно ушло из нашего сервера.

Как вы представляете salesperson просит prospect (который только email умеет читать) о заголовках??

Т.е. если отвечать то надо сделать минимум домашней работы

Что бы посмотреть, если ето возможно - надо как минимум иметь оригинал емейла в том виде как его получили - со всеми хедерами. На УНИХе все ето делается раз плюнуть.
И ето еще не факт, что Екщейндж что либо хранит типа лога кому что послал.

[Vasik]

Katit, Для начала посмотрите включен ли вообще у вас в Exchange log или нет.
Я не спец в этом продукте, наша контора немного побаловалась и отказалась от него - контора небольшая, а стоит он прилично - всё что он может в отличие от фришного софта, чего те не все могут это эксченчевые приблуды типа календаря (собственно из-за этого его контора и хотела, но передумала).
Я вот глянул в своём домашнем (пробная версия 2003 для экспериментов) - лог похоже включается через Exchange System Manager в Servers->"Server_name" - right click -> Properties-> check box <Enable message tracking> И выше там есть опция - возможно это оно. Дальше снизу прописываете где хранить лог.
А лучше слазить на www.microsoft.com/exchange и качнуть оттуда доки.

Вообще сочуствую конторе - без админа и вообще человека кто шарит в почте чудес ещё оберётесь. Правильная политика всё же (в интересах конторы) задвинуть пользователей за нормальный (не SOHO) firewall (можно на базе Линукса или чего то подобного, но с тольковой настройкой фильтрации сетевого трафика - в виндусовых конторах это нелегко ), дать доступ наружу только к определённым сервисам, почту только через определённый внутренний SMTP сервер (как раз тогда вирусы от клиентских машин со своим SMTP не пролезут, хотя умные поди смогут использовать настройки почтовой программы, но использование авторизации может помочь), Web тоже желательно через прокси, а остальное заблокировать и открывать только по мере надобности. И тогда чудес и курьёзов будет меньше.

А тем кто пострадал, попросите сохранить спамовое письмо в виде файла и прислать в виде аттачмента. Там действительно будет видно какой SMTP сервер использовался.
А бывает просто "украдут" ваши почтовые адреса и шлют свой спам используя их в качестве обратного. Мне вот тоже пришло недавно письмо что фильтр в какой то Австралийской конторе не пропустил из-за вируса письмо с моего рабочего ящика, а я естественно никому в Австралию не писал и на вирусы всё просканировал - чисто, а только недавно зарегистрировался с этим адресом в одной конференции - оттуда поди и спёрли.

[Vasik]

Что бы посмотреть, если ето возможно - надо как минимум иметь оригинал емейла в том виде как его получили - со всеми хедерами. На УНИХе все ето делается раз плюнуть.

А мне казалось что и в винде (Outlook Express) раз плюнуть или это не то?

Return-Path: <ema@bea.com>
Received: from mail2.hotbox.ru ([unix socket])
by mail2.hotbox.ru (Cyrus v2.2.3) with LMTP; Tue, 18 May 2004 03:26:34 +0400
X-Sieve: CMU Sieve 2.2
Received: from mx2.hotbox.ru (mx2.hotbox.ru [80.68.244.122])
by mail2.hotbox.ru (8.12.9/8.12.6) with ESMTP id i4HNQXEC054909
for <xxx@mail2.mail333.com>; Tue, 18 May 2004 03:26:33 +0400 (MSD)
(envelope-from ema@bea.com)
Received: from usmailgw3.bea.com (usmailgw3.bea.com [63.96.161.20])
by mx2.hotbox.ru (8.12.11/8.12.11) with ESMTP id i4HNQ5Z5012171
for <xxx@mail333.com>; Tue, 18 May 2004 03:26:26 +0400 (MSD)
(envelope-from ema@bea.com)
Received: from contact2 (contact2.bea.com [63.96.161.30])
by usmailgw3.bea.com (Pro-8.9.3/Pro-8.9.3) with ESMTP id QAA28287
for <xxx@mail333.com>; Mon, 17 May 2004 16:21:57 -0700 (PDT)
Message-ID: <999CR1000039160@contact2.beasys.com>
Date: Mon, 17 May 2004 16:16:14 -0700 (PDT)
From: BEA Product Bulletin <e-info@bea.com>
Reply-To: e-info@bea.com
To: xxx@mail333.com
Subject: May/June 2004 Issue: Product Bulletin
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary=8300971.1084835774570.JavaMail.root.contact2
X-EMA-CID: was_my_name
X-EMA-LID:
X-EMA-PC: BPB-0405-NALAM
X-SpamTest-Info: Profile: Archiving/Rejecting (2/030321)
X-SpamTest-Info: Profile: Detect Hard No RBL (4/030526)
X-SpamTest-Info: Profile: Formal (85/040516)
X-SpamTest-Status: Not detected

[katit]

Спасибо, все понял. Что-то заколбасило в последнее время с этой хренотенью. 3 года работаю и все было более-менее. Обьясню что к чему и пускай делают что хотят. У нас даже firewall нету.

Начальство жмется (естественно, всего 6 человек у нас). Ну вот я как-бы за всем присматриваю. Притом умудряясь не тратить на это времени.

Короче пошлю всех нафиг. Думают что потратив 300 баксов на AVG они уже set.

[Vasik]

Начальство жмется (естественно, всего 6 человек у нас).

Знакомо не по наслышке Сам почти в таких условиях на парт-тайм позиции и именно по этим соображениям контора пока не хочет почту полностью у себя хостить - забираем у внешнего провайдера, у которого есть и антиспам и антивирус. А у себя только SMTP сервер держим, но он только шлёт от нашей локалки и снаружи вообще недоступен. Зачем вы вообще с таким количеством народа у себя почту хостите, да ещё с таким монстром как Exchange? Непонятно...

[katit]

Зачем вы вообще с таким количеством народа у себя почту хостите, да ещё с таким монстром как Exchange? Непонятно...

Да нет, хостим у провайдера.
Exchange внутри стоит. Он может и не при делах вообще. Он используется как хранилище и мыло между сотрудниками...

А каждый Outlook настроен на внешний и внутренний сервер. Кто так настроил, почему и т.д. я не знаю. Но это то что имеем.

[theukrainian]

Предложите взять студента сисадмином - можно за гроши толковых найти. На время, чтобы все вам подлючил.

А без Firewall сетка просто так и просит неприятностей. Больших неприятностей.

Я тоже не сисадмин а программист, но я так думаю

[A. Fig Lee]

Что бы посмотреть, если ето возможно - надо как минимум иметь оригинал емейла в том виде как его получили - со всеми хедерами. На УНИХе все ето делается раз плюнуть.

А мне казалось что и в винде (Outlook Express) раз плюнуть или это не то?

То. А вот Аутлук - ето не то, я у себя не нашел как посмотреть.

[DmitryMA]

То. А вот Аутлук - ето не то, я у себя не нашел как посмотреть.

View-->Options-->Internet headers