邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: ORF使用过程中的疑问 [打印本页]

作者: 紫玄冰    时间: 2007-4-12 20:42
标题: ORF使用过程中的疑问
1、greylist
[attach]1647[/attach]
如上图
reject unknown sender for 10 seconds指的是什么?
record lifttime 48 hour与clean up database in every 600seconds有什么区别?感觉好象是冲突的!


关于greylist在测试时发现临时中断时间过后不到1分钟再次测试又提示中断,看日志记录提示不是TEMPORARILY REJECT而是直接greylisted,,但过后10分钟又全部收到。郁闷中。
作者: 紫玄冰    时间: 2007-4-12 20:47
2.ACTION
对于可以同时在邮件达到前或者达到后检查的规则,如果硬性指定为达到前检查,而达到前里面又没有对应的ACTION,此不是无法反馈信息给用户??

3,BACKUP
怎么把所有的设置一次性导出来?

也许可以把安装根目录下的所以文件保存下来,新安装后覆盖过去

[ 本帖最后由 紫玄冰 于 2007-4-12 21:06 编辑 ]
作者: 紫玄冰    时间: 2007-4-12 20:53
4、ACTIVE DIRECTORY
如果我的邮件服务器的DNS是server.ns1.ns2.kkk.com
合格的LDAP路径怎么表示?以下为我杰作。。。
LDAP://server/DC=ns1,DC=ns2,DC=kkk,DC=com

对于验证用户是不是必须的?是的话,该用户是什么级别的--指管理员、域管理员??

另外,开启AD过滤。。与IIS SMTP设置的远程域是怎么样的关系呢?


5、如何配置EXCHANGE2003邮件服务器把邮件先发到ORF的服务器上, 再由orf服务器转发到外网?

尝试过在建立SMTP连接并指定中继到智能主机ORF,但是没有成功!!

[ 本帖最后由 紫玄冰 于 2007-4-12 21:33 编辑 ]
作者: atong999888    时间: 2007-4-12 21:46
原帖由 紫玄冰 于 2007-4-12 20:42 发表
1、greylist
1647
如上图
reject unknown sender for 10 seconds指的是什么?
record lifttime 48 hour与clean up database in every 600seconds有什么区别?感觉好象是冲突的!


关于greylist在测试时 ...



reject unknown sender for N seconds 是外来邮件第一次被ORF临时拒绝后, 第二次重发必须隔至少N秒,
如你设置10秒, 而外来邮件只间隔2秒就重发过滤, 则ORF又会再临时拒绝,  后续重发时间离第一次至少间隔10秒ORF才会接受.


record lifttime 48 hour Greylisting: 记录活动记录在数据库里保留48个小时,
clean up database in every 600seconds: 数据库间隔600秒做一个清理, 把48小时前的活动记录删除掉, 如果记录不多, 可以把时间间隔拉大一些.


问题: 关于greylist在测试时发现临时中断时间过后不到1分钟再次测试又提示中断,看日志记录提示不是TEMPORARILY REJECT而是直接greylisted,,但过后10分钟又全部收到。郁闷中。
能否把直接greylisted那条日志发给我看一下.
作者: atong999888    时间: 2007-4-12 21:52
原帖由 紫玄冰 于 2007-4-12 20:47 发表
2.ACTION
对于可以同时在邮件达到前或者达到后检查的规则,如果硬性指定为达到前检查,而达到前里面又没有对应的ACTION,此不是无法反馈信息给用户??

3,BACKUP
怎么把所有的设置一次性导出来?

也许 ...


2答: 达到前检查都会有一个action与之对应
       Congiuration ->filtering-before arrival->Actions
       不知你看到哪个test没有对应的action?

3答: 不能一次全部导出.
       可以把安装根目录下的所以文件保存下来,新安装后覆盖过去 , 配置就全跟过去了, 测试版转为正式版就是这样安装的, 安装后只要重新做一下smtp的绑定即可.
作者: atong999888    时间: 2007-4-12 22:00
原帖由 紫玄冰 于 2007-4-12 20:53 发表
4、ACTIVE DIRECTORY
如果我的邮件服务器的DNS是server.ns1.ns2.kkk.com
合格的LDAP路径怎么表示?以下为我杰作。。。
LDAP://server/DC=ns1,DC=ns2,DC=kkk,DC=com

对于验证用户是不是必须的?是的话,该 ...



4答: 如果ORF那台机器未加入域, 则必须启用验证用户, 只用用一个普通用户即可.
格式要改为: LDAP://DC=kkk,DC=com
开启AD过滤与IIS SMTP设置的远程域是没关系, AD过滤是由ORF来处理的.

5答: 能否把你exchange智能主机的配置图发上来看一下.
   如果邮件服务器是Exchange的话, Exchange的smtp功能要被IIS smtp强大多了, 因此建议把ORF直接安装在exchange上才能更好发挥.

[ 本帖最后由 atong999888 于 2007-4-12 22:15 编辑 ]
作者: 紫玄冰    时间: 2007-4-13 08:06
原帖由 atong999888 于 2007-4-12 21:46 发表



reject unknown sender for N seconds 是外来邮件第一次被ORF临时拒绝后, 第二次重发必须隔至少N秒,
如你设置10秒, 而外来邮件只间隔2秒就重发过滤, 则ORF又会再临时拒绝,  后续重发时间离第一次至少间 ...


根据你的回复,我做一次临时中断过滤总结,atong看看对否

GREYLIAS---外来邮件----ORF临时中断10秒---10秒后外来邮件---ORF通过---ORF记录在48小时内该邮件都通过---48小时又600秒后没发送邮件记录将被清除---重新开始greylist


GREYING日志,,今天早上的,后面该邮件又通过了ORF发数出去。
Version: 3.0.1 EVALUATION
Log mode: Short
Server: gogo.citycase.8866.org
Source: SMTPSVC-1
Time: 2007-4-13 7:38:51
Class: Reject Recipient
Severity: Information
Filtering point: Before Arrival
Related IP address: 219.130.37.53
Message ID: (not available)
Sender: M@gogo.cityc6.org
Recipient(s):
_chen@cityc66.org
Message:
Greylisted.
作者: 紫玄冰    时间: 2007-4-13 08:09
原帖由 atong999888 于 2007-4-12 21:52 发表


2答: 达到前检查都会有一个action与之对应
       Congiuration ->filtering-before arrival->Actions
       不知你看到哪个test没有对应的action?

.

白名单好象都没有ACTION。。。还有tarpit delay也没有。。。
作者: 紫玄冰    时间: 2007-4-13 08:14
原帖由 atong999888 于 2007-4-12 22:00 发表

4答: 如果ORF那台机器未加入域, 则必须启用验证用户, 只用用一个普通用户即可.
格式要改为: LDAP://DC=kkk,DC=com
开启AD过滤与IIS SMTP设置的远程域是没关系, AD过滤是由ORF来处理的.

3、4级域名怎么改写,如上面的,我改写的对否。。。


原帖由 atong999888 于 2007-4-12 22:00 发表
5答: 能否把你exchange智能主机的配置图发上来看一下.
   如果邮件服务器是Exchange的话, Exchange的smtp功能要被IIS smtp强大多了, 因此建议把ORF直接安装在exchange上才能更好发挥.

[attach]1648[/attach]
作者: 紫玄冰    时间: 2007-4-13 08:16
6、iis smtp也有对邮件附近大小,用户连接数的设置,这个跟邮件服务器的smtp是不是有冲突了,,我的理解应该是IIS SMTP的优先于邮件服务器!
作者: atong999888    时间: 2007-4-13 09:08
2答: 白名单的Aciton就是"接受", 白名单的邮件都会被接受, 不会拒绝, 没必要給你定制action的信息了.
      tarpit delay只是延迟一下再接受, 并不会发送任何信息给发送方的.

5答: 请看图片
       在ORF的IIS SMTP加入你的exchange IP, 允许转发来自Exchange的邮件.

6答: IIS SMTP的优先于邮件服务器
作者: 紫玄冰    时间: 2007-4-13 10:50
谢谢ATONG,,,前面的基本了解。。。

7.ORF Reporting Tool
在报告中有下面的信息
System Statistics
    Report > Summary > System Statistics

Filtering
Field Value
Average email check time (seconds) 0.17
Server errors 0
Server warnings 0

其中Average email check time (seconds) 0.17 指的转发一封邮件的平均耗时吧,,,如果就按上面的0.17来 算的话,1秒就是大概能转发6封邮件了,不知道这样的速度怎么样呢?
作者: atong999888    时间: 2007-4-13 11:19
标题: 回复 #12 紫玄冰 的帖子
速度不能这么计算,随着检测方式使用越多, 所花的时间也就越长,但系统是能多线程同时处理的, 只要ORF的cpu负载不高就正常.
作者: 紫玄冰    时间: 2007-4-13 12:04
原帖由 atong999888 于 2007-4-13 11:19 发表
速度不能这么计算,随着检测方式使用越多, 所花的时间也就越长,但系统是能多线程同时处理的, 只要ORF的cpu负载不高就正常.


不是这么算的?那上面的0.17指的是什么意思!
按你说的规则多,花时间当然也越长,,,所以这个值就不是0.17而是更高的值。。。反过说了1秒钟内转发的邮件数少了。。。不是这个意思吗?

既然提到了转发,,,请问ATONG。。ORF的转发率是由那些因素影响的?又这个统计功能或者自己算出来吗?



8、KEYWORD
能提供一个复杂的KEYWORD过滤规则吗?例如标题只是数字。或空白,,常见病毒标题====谢谢
作者: atong999888    时间: 2007-4-13 14:50
标题: 回复 #14 紫玄冰 的帖子
转发的是由IIS SMTP负责,ORF并不管它,ORF只对进来的邮件做过滤.
如果ORF是装在exchange上,则连转发这个动作也没有.

并不能按一封邮件花多长时间计算出它的处理能力,
规则越多,时间就越长,如DNS黑名单,ORF查询国外反垃圾邮件组织的黑名单时需要等一小段时间,查URL也要等,全部规则都用上的话,可能要花2-3秒才能完成,但这时ORF能多线程并发处理其它邮件,可能同时处理10封邮件过滤, ORF每天处理100000封是很轻松的.


8、KEYWORD一般很少人工去加的,一般都被其它规则过滤掉了, 你在加也没什么意义, 只是个别垃圾实在顽固,则有固定规律你才去加它, 关键词要写得严格,乱写的话会把正常邮件当做垃圾.
作者: 紫玄冰    时间: 2007-4-14 08:20
9.filter
ORF关键过滤规则是那几个,,,或者说是最常用到的,功能最使用的是过滤规则是那几个?


10.log
Message:
Log preprocessing: Could not preprocess log file "C:\Program Files\ORF Enterprise Edition\orf-2007-04-13.opg". EConvertError "'DC=8866' is not a valid integer value".
上面的警告信息是什么原因引起的。该如何处理?

[ 本帖最后由 紫玄冰 于 2007-4-14 08:28 编辑 ]
作者: 钉子    时间: 2007-4-14 09:15
9.最常用到的应该就是提供出来的关于股票型的图片垃圾的过滤规则了。
10.把LDAP Root的地址给出来看一下。
作者: 紫玄冰    时间: 2007-4-14 10:30
9、ORF并不支持图片垃圾过滤。。。ATONG给的只是KEYWORD。。。前面ATONG也提到。。KEYWORD过滤很少用的。都给其它规则过滤。。。这里想问的是所谓的其它规则指的是常用的规则。。。都会是那几个?

10.测试用FQDN:mail.uuu.2233.com是2级域名,mail是服务器名
本人的设置LDAP://DC=uuu,DC=2233,DC=com
作者: 钉子    时间: 2007-4-14 11:11
9.哦原来不是问keyword过滤,根据我们的经验来看Filtering中Greylisting是最常用的。还有附件过滤,URL blacklists一般都会建议使用。
作者: 紫玄冰    时间: 2007-4-14 11:41
11.tests/action
这里小疑问比较多。。
a、tests里面有些规则是可以在邮件达到前后同时有效,对于这些规则建议ATONG列表给个建议贴给大家看看。。

b.对于都被规则拒绝的邮件,ORF里面能不能把ACTION里面的内容反馈到发送方,即让发方收到有ACTION内容的邮件?或者请把不能的列出了看看

c.跟上面的有关,我方邮件收发都经过ORF(网关型),对方发来的邮件被拒绝并退回,这个“退回”动作是那方服务器发出的?还是ORF发出?这个功能在那里可以设定!!!

d.又跟前面的有关,如果对方被退信件是对方服务器发出,那么ACTION里面的内容还能被加进去吗?行的话,两方服务器之间是怎么交换这些ACTION内容呢


补充一个小BUG:
测试发现,如果ACTION内容里面有回车换行,某些邮件服务器退回的邮件错误信息只显示到回车处!!
作者: atong999888    时间: 2007-4-14 22:03
11
a答: 尽量用"到达前"模式, "到达前"模式能大大减少系统资源的占用.
       如果外来邮件是先经过一台服务器再转发到ORF的话, 则只能使用"到达后"模式.
b答: ACTION里面的内容是在smtp会话里直接反馈给发送方服务器的
       正常被接受的邮件, 正常接收方邮件系统在smtp会话里会告诉对方"正常接收", 结束会话
       如果邮件被拒绝, 则ORF会在smtp会话里告诉发送方服务器"拒绝和拒绝原因(action内容)"并结束会话, 发送方服务器根据你方的拒绝信息自动发送一封退信(包含action内容)给原始发件人, 退信的发送与ORF无法, 即使退信没发送, 也不是你方的问题。

c答: 同b , 你方只告诉对方"你的邮件被拒绝了和拒绝原因"并结束对话, 退信由对方服务器发送, 与你方无任何关系了, 你也无任何权利管对方的退信发送。

d答: 同b

答BUG:
测试发现,如果ACTION内容里面有回车换行,某些邮件服务器退回的邮件错误信息只显示到回车处!!这不是ORF的问题, ORF只管告诉对方拒绝信息, 如果对方无法处理包含"回车换行"的话, 那对方服务器在发送退信时就可能就只发送部分信息, 为了避免此问题, 建议把拒绝信息写成一行, 拒绝信息也不要写得太长, 因为部分对方服务器发退信时可能只会发送部分文字(如200个字符).
对方服务器怎么发退信不是ORF能控制的, 要看对方服务器程序的设计人员怎么写的, 有些设计不是很合理.

[ 本帖最后由 atong999888 于 2007-4-14 22:05 编辑 ]
作者: atong999888    时间: 2007-4-14 22:14
10答: 不要去管你的dns域名, 而是要关心的windows域的格式.
    如: 你的windows域名是abc.com
          而你的dns域名是cde.com
          假设有个域帐号test,  你在exchange收件人策略里了加了cde.com, 因此就有个test@cde.com这个邮件地址.
          在AD检测里你要填LDAP://DC=abc, DC=com

[ 本帖最后由 atong999888 于 2007-4-14 22:16 编辑 ]
作者: 紫玄冰    时间: 2007-4-15 09:19
原帖由 紫玄冰 于 2007-4-14 10:30 发表
10.log
Message:
Log preprocessing: Could not preprocess log file "C:\Program Files\ORF Enterprise Edition\orf-2007-04-13.opg". EConvertError "'DC=8866' is not a valid integer value".
上面的警告信息是什么原因引起的。该如何处理?

10.测试用FQDN:mail.uuu.2233.com是2级域名,mail是服务器名
本人的设置LDAP://DC=uuu,DC=2233,DC=com


那上面的日志错误10.log怎么解决?

其实,关于LDAP我是想问题 2级域名的路径怎么设置,如我上面给的例子,ATONG你给出正确的路径我就明白
作者: 紫玄冰    时间: 2007-4-15 09:24
12.HELO BLACKLIST
a.其中有一个设置项是IS MALFORMED。。。不知道怎么样的才算是malformed....我测试是用了ss.l这样的没过滤到。。

b.还有一项IS THE SAME AS THE RECIPIENT DOMAIN打上勾的话。。不是本服务器的用户之间不能相互发邮件了吗?测试时又是可以互相发送,不明白?

c,对于ACITON执行时间,我开始以为是在HELO发送完就能执行的,测试发现不是:是RCPT后才执行,有点不理解为什么这么设计?

[ 本帖最后由 紫玄冰 于 2007-4-15 09:30 编辑 ]
作者: 紫玄冰    时间: 2007-4-15 10:06
13..TARPIT DELAY
说明中指该功能对拒绝的邮件会有延时,如果设置规则里面对拒绝的邮件在达到前就拒绝打回给发方,这个TARPIT不是成了花瓶。

同时GREYLIST选项:reject unknown sender for:里面设置的时间已经对所有的邮件进行了发送间隔,就已经相当于作了延时。。特别是这里的时间大于TARPIT时间的时候,TARPIT不是废了。。
作者: atong999888    时间: 2007-4-15 10:36
原帖由 紫玄冰 于 2007-4-15 09:19 发表


那上面的日志错误10.log怎么解决?

其实,关于LDAP我是想问题 2级域名的路径怎么设置,如我上面给的例子,ATONG你给出正确的路径我就明白


AD过滤与你的dns名无关, 关键是你的exchange所在的windows域, 如果你的windows域名和邮件dns域名一样的话, 那就没差别, 如果不一样, 那你就应该填windows域对应的LDAP, 不要去管你的几级域名, 有时候一个邮箱还对应着好几个域名.
能告诉我你的windows域吗?
作者: atong999888    时间: 2007-4-15 10:45
12.HELO BLACKLIST
a.其中有一个设置项是IS MALFORMED。。。不知道怎么样的才算是malformed....我测试是用了ss.l这样的没过滤到。。
答: MALFORMED是指helo的自符串格式是那种畸形的, 如包含一些怪特殊符号, 一般不要启用它, 有些邮件列表的helo头就怪怪的.

b.还有一项IS THE SAME AS THE RECIPIENT DOMAIN打上勾的话。。不是本服务器的用户之间不能相互发邮件了吗?测试时又是可以互相发送,不明白?
答: 凡经过验证的邮件都不做过滤的, 因此内部用户之间的收发不受此限制.

c,对于ACITON执行时间,我开始以为是在HELO发送完就能执行的,测试发现不是:是RCPT后才执行,有点不理解为什么这么设计?
答: 软件设计者的逻辑还是比较周全, 系统多做了一步rcpt的操作对系统资源几乎无什么影响, 但为管理员查问题提供了大大的方便, 你想想, 要是没有rcpt这条, 你在日志里就无法看到收件人, 只能看到发件人, 你可能会觉得非常别扭, 你查问题时连收件人都不知道怎么查.
作者: 紫玄冰    时间: 2007-4-15 11:33
原帖由 atong999888 于 2007-4-15 10:45 发表
能告诉我你的windows域吗?
...

WINDOWS域跟DNS域是一样的,都为uuu.2233.com

原帖由 atong999888 于 2007-4-15 10:45 发表
b.还有一项IS THE SAME AS THE RECIPIENT DOMAIN打上勾的话。。不是本服务器的用户之间不能相互发邮件了吗?测试时又是可以互相发送,不明白?
答: 凡经过验证的邮件都不做过滤的, 因此内部用户之间的收发不受此限制.

...

你说的验证具体指什么验证呢?IIS SMTP的验证?还是其它的。
作者: atong999888    时间: 2007-4-15 11:37
原帖由 紫玄冰 于 2007-4-15 10:06 发表
13..TARPIT DELAY
说明中指该功能对拒绝的邮件会有延时,如果设置规则里面对拒绝的邮件在达到前就拒绝打回给发方,这个TARPIT不是成了花瓶。

同时GREYLIST选项:reject unknown sender for:里面设置的时间 ...

The tarpit delay of ORF allows you to delay the SMTP responses sent by ORF on a blacklisted email or recipients. As the sender server has to wait for the ORF's response, you can use this feature to "fight back" to spammers by slowing them down or to make it virtually impossible for them to carry out a successful Dictionary Harvest Attack (DHA) against your server.

假如有个恶意家伙要连续发1000000垃圾给你公司,
如果没有tarpit delay, 我们看smtp会话过程
发送方: helo test  (0.02秒)                                         接收方: 马上做出相应回应(0.02秒)
发送方:mail from:<垃圾发件人> (0.02秒)                  接收方: 马上做出相应回应(0.02秒)
发送方:rcpt tp:<001@yourdomain.com>(0.02秒)    接收方: 马上做出相应回应(0.02秒)
data (0.1秒)  (如果是拒绝或临时被拒绝, 则没有这一项的时间, 我们才用平均0.1秒计算)
quit (0.02秒)
这样花了0.24秒完成了1封邮件的发送,  如果发送方采用单线程模式1小时可发15000封
如果对方用10线程同时并发发送, 1小时可发150000封


如果有了tarpit delay, 假设让它延迟2秒,  我们看smtp会话过程
发送方: helo test  (0.02秒)                                         接收方: 马上做出相应回应(0.02秒)
发送方:mail from:<垃圾发件人> (0.02秒)                  接收方: 马上做出相应回应(0.02秒)
发送方:rcpt tp:<001@yourdomain.com>(0.02秒)    接收方: 延迟2秒才做出相应回应(2秒)
data (0.1秒) (如果是拒绝或临时被拒绝, 则没有这一项的时间, 我们才用平均0.1秒计算)
quit (0.02秒)
这样花了2.2秒完成了1封邮件的发送,  如果发送方采用单线程模式1小时可发1636封
如果对方用10线程同时并发发送, 1小时可发16360封

以上2个对比, 没有Tarpit delay的话, 则垃圾邮件可能就象洪水一样冲过来(不管是接受还是拒绝), 可能导致你的服务器没有资源去处理正常邮件, 有了Tarpit delay就能够延缓邮件的接收, 正常邮件被延缓几秒是不会影响工作的.
作者: atong999888    时间: 2007-4-15 11:41
原帖由 紫玄冰 于 2007-4-15 11:33 发表

WINDOWS域跟DNS域是一样的,都为uuu.2233.com


你说的验证具体指什么验证呢?IIS SMTP的验证?还是其它的。

答: 当然是IIS SMTP的验证.

你的域里是不是有个8866这个域吗?
作者: 紫玄冰    时间: 2007-4-15 12:01
原帖由 atong999888 于 2007-4-15 11:37 发表

如果有了tarpit delay, 假设让它延迟2秒,  我们看smtp会话过程
发送方: helo test  (0.02秒)                                         接收方: 马上做出相应回应(0.02秒)
发送方:mail from:<垃圾发件人> (0.02秒)                  接收方: 马上做出相应回应(0.02秒)
发送方:rcpt tp:<001@yourdomain.com>(0.02秒)    接收方: 延迟2秒才做出相应回应(2秒...

谢谢你举的例子,明白中。。。不过你还没有回复它与GREYLIST的关系,因为怀疑这两个冲突了!见上面25楼的提问。。

同时我想确认一下,tarpit delay到底是对所以发进来邮件有效,还是只对判断为垃圾邮件后的邮件有效??

原帖由 atong999888 于 2007-4-15 11:37 发表
答: 当然是IIS SMTP的验证.

你的域里是不是有个8866这个域吗?...

。。你还记得的。。不过,,都一样的。。我的WINDOWS域名就是uuu.2233.com
那么这个LDAP怎么写?

[ 本帖最后由 紫玄冰 于 2007-4-15 12:02 编辑 ]
作者: atong999888    时间: 2007-4-15 12:41
tarpit delay与GREYLIST没任何关系, 也不冲突.
如果邮件被Greyliting临时拒绝, 如果没有tarpit delay, 则发送方会立即发送下一封邮件给你, 你的服务器没有任何空闲时间.
如果邮件被Greyliting临时拒绝, 如果有tarpit delay, 则你方ORF会延迟2秒才告诉对方给Greylist(临时拒绝了), 这样就让发送方等2秒才会发送下一封邮件给你, 你的服务器至少有2秒的空闲时间去处理其它事务.

我的测试是: Tarpit delay对白名单以外的都是生效的.
作者: atong999888    时间: 2007-4-15 12:46
关于LDAP格式, 我是发现你日志里DC=8866, 这样吧, 你在你的Exchange服务器里, 点"我的电脑"右键-->属性-->计算机名, 把那个屏幕发给我看一下. email到orfhelp@yahoo.com.cn.
作者: atong999888    时间: 2007-4-15 12:48
楼越盖越高
作者: atong999888    时间: 2007-4-16 08:29
原帖由 atong999888 于 2007-4-15 12:46 发表
关于LDAP格式, 我是发现你日志里DC=8866, 这样吧, 你在你的Exchange服务器里, 点"我的电脑"右键-->属性-->计算机名, 把那个屏幕发给我看一下. email到orfhelp@yahoo.com.cn.

看到你的邮件了,你填LDAP://DC=uuu,DC=2233,DC=com是错了,LDAP和你的DNS名无关系的, 不管你有多少个DNS名,你的LDAP都应该用8866那个windows域,请见我的邮件.
作者: 紫玄冰    时间: 2007-4-16 08:46
原帖由 atong999888 于 2007-4-15 12:41 发表
tarpit delay与GREYLIST没任何关系, 也不冲突.

理解。。对于TARPIT好象exchange本身也有这个功能。。。(不记得)
你的要的LDAP资料已经用测试邮件发到你邮件上,,,要是没收到的话发个短信给我。。

楼是高了点,辛苦ATONG了。。 。。反正没事,我们接着盖楼。。。

14.SPF
有做DNS TXT记录的朋友很少吧。。身边的几乎没有,所以SPF并不实用,而且在测试中,冒用dffd@microsoft.comdsfs@dfsfdf.com这样的地址竟然也没过滤到。。。其实我想说的,前天看了篇文章,里面介绍好象有专门的一个组织是来收集DNS TXT记录,并提供SPF服务。。就跟IP BLACKLIST差不多。。只是用户自己去填写资料。。

15.BONDED SENDER PROGRAM
对于这个功能没明白用的是那个规则?对应的又是那个ACTION?好象是DNS WHITELIST,但是DNS WHITELIST设置页只给了个连接,,,不知道它们之间是什么复杂关系,,,
作者: atong999888    时间: 2007-4-16 09:22
14.
> set type=txt
> microsoft.com
Server:
Address:  

Non-authoritative answer:
microsoft.com   text =

        "v=spf1 mx include:_spf-a.microsoft.com include:_spf-b.microsoft.com inc
lude:_spf-c.microsoft.com include:_spf-ssg-a.microsoft.com ~all"

你看到最后是写~all, ~all表示可能还有从其它IP发的, MS的spf只表达一个意思,那就是从
_spf-a.microsoft.com _spf-b.microsoft.com _spf-c.microsoft.com _spf-ssg-a.microsoft.com
发来的邮件真的是Microsoft.com的, 但还有可能从其它地方发的.


> 126.com
Server:  txdcsvr01.taeco.com
Address:  57.227.51.51

Non-authoritative answer:
126.com text =

        "v=spf1 ip4:220.181.12.0/22 ip4:202.108.5.0/24 -all"

这个就不同了, 它表示除了220.181.12.0/22和202.108.5.0/24, 其它IP以126.com发的都是假冒的.

你用126.com的假冒身份测试一下,一定会被拒绝的.
163.net也是一样.

SPF服务是在自己DNS服务器上加个记录,没必要也不可能找其它服务商给你服务,可能看到的那个网站是提供一个spf记录的自动生成服务.

[ 本帖最后由 atong999888 于 2007-12-5 09:02 编辑 ]
作者: atong999888    时间: 2007-4-16 09:44
15.BONDED SENDER PROGRAM
对于这个功能没明白用的是那个规则?对应的又是那个ACTION?好象是DNS WHITELIST,但是DNS WHITELIST设置页只给了个连接,,,不知道它们之间是什么复杂关系,,,

BONDED SENDER是国外一个白名单组织,凡是从白名单发来的邮件都会被接收, 白名单它不拒绝邮件, 也就没有没有action动作. 如果有个IP你的黑名单里的话, 那也是白名单优先.  和dns whitelist没关系, dns whitelist是你自己手工加的.
作者: 紫玄冰    时间: 2007-4-16 10:33
原帖由 紫玄冰 于 2007-4-15 09:19 发表

Message:
Log preprocessing: Could not preprocess log file "C:\Program Files\ORF Enterprise Edition\orf-2007-04-13.opg". EConvertError "'DC=8866' is not a valid integer value".
上面的警告信息是什么原因引起的。该如何处理?



自己回来补充:
解决:只需把orf-2007-04-13.opg删除即可。
原因:系统会自动在安装文件目录下生存*.opg与*.ppr,如果缺少其中一个就会出现类似上面的警告提示
作者: 紫玄冰    时间: 2007-4-16 10:52
原帖由 atong999888 于 2007-4-16 09:22 发表
14.
> set type=txt
> microsoft.com
Server:  txdcsvr01.taeco.com
Address:  57.227.51.51

Non-authoritative answer:
microsoft.com   text =

        "v=spf1 mx include:_spf-a.microsoft.com  ...

明白。。。不明白的是既然指定了IP,又~all。。。等于是没有。。
关于上面提到的网站,我也说是要用户自己去把TXT记录登记进去的,人家就相当于一个数据库。。。

下面还提到了黑白规则的优先,,照ATONG你的意思,,ORF里面应该都是白的优先于黑的了。!!!?
作者: 紫玄冰    时间: 2007-4-16 12:06
16.URL BLACKLIST
该功能只对邮件内容进行检查吗?会不会对邮件的地址域名、主题甚至TXT类的附件也检查?
另外说明,要启用该功能,前提条件好象还先启用RDNS等其它服务。。是这么回事吗?

测试时,TEST项除了最后一个代理没启用外,,自己手工添加了一个
http://www.qq.com的simple text过滤内容,测试没成功!

+++++++++++++++++++
自己补充答案:
如果想过滤http://www.qq.com或者http://were.qq.com
手工添加规则时,不要把http://添加进去,如要过滤上面两个,只需添加*.QQ.com即可。。

URL BLACKLIST只对邮件内容或里面想关的超级连接做配对过滤!

[ 本帖最后由 紫玄冰 于 2007-4-16 17:04 编辑 ]
作者: atong999888    时间: 2007-4-16 16:57
www.qq.com即可, 把http://去掉.
作者: atong999888    时间: 2007-4-16 16:58
原帖由 紫玄冰 于 2007-4-16 10:52 发表

明白。。。不明白的是既然指定了IP,又~all。。。等于是没有。。
关于上面提到的网站,我也说是要用户自己去把TXT记录登记进去的,人家就相当于一个数据库。。。

下面还提到了黑白规则的优先,,照ATONG你 ...


白名单优先, 符合白名单的就接受, 而不管后面的黑名单了.
作者: 紫玄冰    时间: 2007-4-16 17:28
原帖由 atong999888 于 2007-4-15 11:41 发表

10.测试用FQDN:mail.uuu.2233.com是2级域名,mail是服务器名
本人的设置LDAP://DC=uuu,DC=2233,DC=com  


补充答案:
在2级域下启用AD过滤,要注意:
1、路径应该是LDAP://ADserver/DC=UUU,DC=2233,DC=COM(注意LDAP、DC大写)
2、在Active Directory里有个authentication ,把use authentication打钩
用户名用:
帐号@windows域名
或 windows域名\帐号

AD只对收件者地址做过滤。。。
作者: atong999888    时间: 2007-4-16 18:29
紫玄冰的问题终于差不多解决了, 非常谢谢紫玄冰的辛苦, 让我的经验又上升了一层.
有空时我会把这这贴做个汇总, 让其它人更方便参考.
作者: 钉子    时间: 2007-4-17 01:04
标题: 回复 #44 紫玄冰 的帖子
ORF的HELP中已明确的写出格式:

LDAP Root

Enter the LDAP path, e.g. LDAP://yourserver/DC=yourdomain,DC=com.
作者: 钉子    时间: 2007-4-17 01:05
这几天忙着搬地方,没想到进展这么神速。
作者: 紫玄冰    时间: 2007-4-23 16:08
标题: 13天简单测试收工。。。
基本上把所有的规则都打开了,看图片
[attach]1696[/attach]

以下是13天来的过滤结果。。。
[attach]1697[/attach]
[attach]1698[/attach]
[attach]1699[/attach]
作者: 紫玄冰    时间: 2007-4-23 16:23
由于是一个人搞的,所以上面的邮件测试数量少的可怜,从上面也可以看出,大部分都是GREYLIST过滤出来东东,其实看日志的话GREYLIST最后的动作还是ACCEPT,所以把关于这个临时阻断也算到BLACKLIST里面--感觉怪怪的。
总的来说,ORF做一个纯软件反垃圾邮件还是不错的,测试期间都很稳定,占用的资源不多:3个工具(管理、日志、报告)同时也就12m的内存,当然可能跟我的测试时的用户数量少有点关系,设置也不复杂。个人认为ORF比较适合小企业(500个邮箱用户),和对价格敏感的企业使用。。
作者: atong999888    时间: 2007-4-24 11:41
ORF对系统资源的占用是很少的, 我有些客户的邮箱数上千也照样用.
作者: dnnljexk    时间: 2007-8-3 13:45
快点汇总吧
作者: john0808    时间: 2007-8-11 11:28
thank you guys very much. I learned a lot.




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/) Powered by Discuz! X3.2