SA - FORGED_MUA_OUTLOOK

zilonis · Сообщение **zilonis** » 05 ноя 2008, 17:31

Было все хорошо но вот в один прекрасный день один пользователь стал попадать под правило FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook.

Для отправки используеn Outlook Express и если я правильно понимаю SA это мыло понимает что его пытаеться отослать клиент который притворяеться Outlook'ом а не Outlook Express. Есть мысль что на этой машине побывал вирус и где то что то изменил\осталось.

Кто что посоветует? Оценка этому правилу по умолчанию 4.06. Снижать ее не советовать.

zilonis · Сообщение **zilonis** » 07 ноя 2008, 20:09

Многоуважаемый алл дельным советом не поможет?

Сообщение **Stranger03** » 10 ноя 2008, 08:31

zilonis писал(а):Многоуважаемый алл дельным советом не поможет?

Через какой сервер отправляется почта? Вин, линукс, юникс? Какой почтовик используется?
Поднимите уровень логов на предмет анализа коннекта, посмотрите что происходит и кто какие данные отсылает и ставит во время коннекта. ИМХО это может и почтовик неверное интерпретировать почтового клиента.

zilonis · Сообщение **zilonis** » 10 ноя 2008, 12:51

CentOS 4.5 использую. Почтовик stndmail... Логи смотрел, но подозрительного для себя ничего не обнаружил... Попробую по внимательней почитать логи...

Сообщение **setar** » 18 ноя 2008, 15:35

если это конкретный локальный пользователь просто добавте его в белый список

zilonis · Сообщение **zilonis** » 18 ноя 2008, 15:41

Это как вариант из бызвыходного положение.... Я просто немогу понять скаких это пор он стал таким... Работает с Outlook Express... С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...

Сообщение **Stranger03** » 18 ноя 2008, 16:04

zilonis писал(а):С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...

Врядли, я давненько встречал такой глюк. Скорей всего связано с заголовком, который корябится при прохождении через местный почтовик.

Сообщение **setar** » 18 ноя 2008, 16:04

получите от проблемного клиента любое письмо и сравните его по заголовкам с письмом от любого коллеги чьи письма ходят хорошо.
сразу все станет видно. Насколько я понимаю изменена сигнатура программы с которой отправляли.

zilonis · Сообщение **zilonis** » 18 ноя 2008, 16:15

Stranger03 писал(а):
zilonis писал(а):С Outlook из пакета офиса никогда не работал... Может сидит вирусняк какой...
Врядли, я давненько встречал такой глюк. Скорей всего связано с заголовком, который корябится при прохождении через местный почтовик.

Да вот в том то и дело что прием и отсылка почты осуществляется через мой сервер без каких либо посредников т.е. клиент лезет на прямую ко мне что бы отослать почту и тут его цапает за попу SA.

zilonis · Сообщение **zilonis** » 18 ноя 2008, 16:17

setar писал(а):получите от проблемного клиента любое письмо и сравните его по заголовкам с письмом от любого коллеги чьи письма ходят хорошо.
сразу все станет видно. Насколько я понимаю изменена сигнатура программы с которой отправляли.

Ну вот судя по правилу которое срабатывает так и есть. Сечас будет смена сервера, посмотрим как будет на нем обстоять дело и заодно капну дальше. на текущем нет смысла углубляться в решение проблемы. Но интересно блин...

Сообщение **Stranger03** » 18 ноя 2008, 16:24

"zilonis"
Насколько я понимаю ваш почтовик тупо не понимает код заголовка письма, а именно идентификатор почтовой программы. Это может быть из-за какого-нибудь сервиспака, фаервола, антивируса на клиенте. Мало ли. Увеличьте уровень лога, посмотрите что там происходит.

SA - FORGED_MUA_OUTLOOK

SA - FORGED_MUA_OUTLOOK

Кто сейчас на конференции