Informazioni personali

Cerca nel blog

Translate

mercoledì 25 febbraio 2009

Consigli per migliorare efficacia di ESA

Oggi mi permetto un piccolo post il cui scopo e’ di sintetizzare alcuni consigli per ottimizzare la resa di un sistema ESA.

Ho gia’ descritto nel dettaglio in precedenza molti di questi punti, ed altri verranno esplosi in futuro quindi mi limito qui a fare un semplice decalogo:

  • 1) DNS Up and Running

configurare correttamente i servizi DNS e’ fondamentale per garantire prestazioni consone a qualunque sistema di navigazione o posta, ancora di piu nel caso di ESA in quanto il servizio senderbase si basa sul protocollo DNS ed alla relativa infrastruttura. Se il servizio DNS non funziona correttamente si ha come risultato un alto numero di timeout alle richesta senderbase e, conseguentemente, un alto numero di connessione di tipo “SBRS = NONE

  • 2) Throttling Aggressivo

quando configuriamo le policy di gestione delle connessioni agiamo opportunamente nei confronti delle connessioni con SBRS minore uguale a zero. Effettuare un throttling severo nei confronti delle connessioni con SBRS = e SBRS compreso almento tra e permette di indirizzare tutte quelle connessioni provenienti da IP nuovi e non monitorati, tipicamente rischiosi.

  • 3) LDAP uber alles

Settiamo se possibile un interfacciamento LDAP (o AD) per la nostra piattaforma. i vantaggi sono visibili in diverse aree, dalla gestione del DHA (Directory Harvest Attack) alla gestione diretta dei bounce senza caricare il vostro mailserver

  • 4) SPAMtraps ora e sempre

siamo obiettivi sinceri ed oggettivi, quante submission facciamo? Sono comunque poche e lo sappiamo benissimo. Attivare le Spamtraps consente quindi di creare un meccanismo di feeback nei confronti di senderbase che permette una maggiore reattivita’ e proattivita’

  • 5) Un Antispam per tutti

Il filtro antispam viene dopo quello dato dal servizio di reputation. Come consuetudine si attiva il motore di IPAS al fine di analizzare lo spam in ingresso ed uscita. Attivare il “suspect spam” e modificare le soglie di detection puo’ dare un grande aiuto in termini di efficacia ed efficenza. Usare la quarantena per il “suspect spam” per gli utenti “VIP” consente di dare un servizio mirato e molto piu accurato.

  • 6) Bounce Verification

non sempre si riesce ad usare, ma per le eccezioni ci sono i destination controls, in comepenso il meccanismo di tagging permette di indirizzare in maniera definitiva semplice ed indolore il classico problema dei bounce attack

  • 7) Content Filtering ….ops DLP

Non facciamoci prendere la mano, piu regole si mettono piu si appesantisce la macchina. Quando possibile i dizionari sono piu efficienti delle regole singole.

  • 8) Domain Key ed SPF

non sono universalmente usati ma chi li usa sa di poter essere molto piu trustable come emettitore di posta, pensateci ne vale la pena.

  • 9) Non tutti ricevono nello stesso modo

Yahoo ed Hotmail non ci vogliono piu? siamo stati bannati come spammers? ricordiamoci di imporre le opportune lmitazioni in outbound per i diversi providers in termini di numero messaggi e connessioni concorrenti. Ogni tanto fate un salto su senderbase.org per vedere la vostra reputazione

10) Ancora troppo SPAM?
se nonostante tutto siete ancora terra di conquista per gli spammers potrebbe essere il momento di usare le maniere forti (ma inutili senza i punti di cui sopra) forse e’ venuto il momento di utilizzare un doppio motore antispam.
ESA, infatti, consente di utilizzare oltre a IPAS anche il motore antispam di Cloudmark. Essendo questo meno intensive in termini di CPU rispetto IPAS la sua attivazione e’ generalmente ben gestita dalle macchine. dal punto di vista del flusso delle mail Cloudmark precede IPAS la scansione quindi avviene in questo modo: Reputation -> Cloudmark -> IPAS -> il vantaggio e’ quello di utilizzare due motri antispam senza produrre un incremento apprezzabile di falsi positivi, grazie al fatto che IPAS esegue la scansione per secondo.

essendo un decalogo composto di 10 voci qui mi fermo e vi rimando ai miei post precedenti per sviluppare molti dei punti descritti.

a presto
Antonio

lunedì 9 febbraio 2009

DNS una alternativa AL PROVIDER

Abbiamo già detto in precedenza come le performance dei DNS siano fondamentali tanto per le attività di browsing quanto per le attività di invio posta. Purtroppo la situazione dei DNS in italia non è delle piu rosee e i risultati delle failure dei DNS pubblici dei nostri provider spesso soon la ragione nascosta di tanti problemi, dalla velocità di internet alla mancata consegna della posta.

 

In ambiente Ironport questa dipendenza è ancora piu delicata, infatti il servizio di reputation si appoggia interamente al servizio DNS utilizzandone struttura e protocollo (TCP ed UDP). Una failure dei servizi di DNS si riflette quindi in rallentamenti nelle attività di browsing ma anche in un decremento delle capacità di filtro della componente di reputation.

 

Una alternativa praticabile, in caso di mancanza di un dns affidabile interno (cache only come suggerito in precedenza) è quello di ridondare i server dns che possono essere chiamati dal sistema. In altre parole un biuon sistema di DNS dovrebbe prevedere

 

A priorità “0” dei server dedicati cache only interni

A priorità “1” dei server esterni che il sistema possa chiamare automaticamente in caso di failure, mettete in lista sicuramente i classici, vostro provider, telecom, fastweb, e poi qualche altro server con pari priorità

 

Ho qui raccolto una serie di  DNS che si possono utilizzare in caso di failure, sono tutti OPEN ed accettano chiamate da chiunque e danno performance più che decorose (superiori spesso a quelle dei nostri provider):

Service provider: ScrubIt

  • 67.138.54.100
  • 207.225.209.66

Service provider:dnsadvantage

  • 156.154.70.1
  • 156.154.71.1

Service provider:OpenDNS

  • 208.67.222.222
  • 208.67.220.220

Service provider: vnsc-pri.sys.gtei.net

·         4.2.2.1

  • 4.2.2.2
  • 4.2.2.3
  • 4.2.2.4
  • 4.2.2.5
  • 4.2.2.6

Alcuni di questi provider offrono soluzioni a pagamento con performance garantite e filtri personalizzabili. In quest’ottica se le performance sono confacenti alle vostre esigenze potrebbe essere percorribile la strada di aumentarne la priorità in luogo dei server del vostro provider di connessione.

 

Ciao

A

Update:

Level 3 Communications (Broomfield, CO, US)
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

Verizon (Reston, VA, US)
151.197.0.38
151.197.0.39
151.202.0.84
151.202.0.85
151.202.0.85
151.203.0.84
151.203.0.85
199.45.32.37
199.45.32.38
199.45.32.40
199.45.32.43

GTE (Irving, TX, US)
192.76.85.133
206.124.64.1

One Connect IP (Albuquerque, NM, US)
67.138.54.100

OpenDNS (San Francisco, CA, US)
208.67.222.222
208.67.220.220

Exetel (Sydney, AU)
220.233.167.31

VRx Network Services (New York, NY, US)
199.166.31.3

SpeakEasy (Seattle, WA, US)
66.93.87.2
216.231.41.2
216.254.95.2
64.81.45.2
64.81.111.2
64.81.127.2
64.81.79.2
64.81.159.2
66.92.64.2
66.92.224.2
66.92.159.2
64.81.79.2
64.81.159.2
64.81.127.2
64.81.45.2
216.27.175.2
66.92.159.2
66.93.87.2

Sprintlink (Overland Park, KS, US)
199.2.252.10
204.97.212.10
204.117.214.10

Cisco (San Jose, CA, US)
64.102.255.44
128.107.241.185

DNS Server List.org
Open-DNS.org

Official name: nsphil.bellatlantic.net
IP address: 151.197.0.38

Official name: home4.bellatlantic.net
IP address: 151.197.0.39

Official name: nyc1-qwest.bellatlantic.net
IP address: 151.202.0.84

Official name: nyc2-qwest.bellatlantic.net
IP address: 151.202.0.85

Official name: nyc1-gtei.bellatlantic.net
IP address: 141.155.0.84

Official name: nyc2-gtei.bellatlantic.net
IP address: 141.155.0.85

Official name: boston1-qwest.bellatlantic.net
IP address: 151.203.0.84

Official name: boston2-qwest.bellatlantic.net
IP address: 151.203.0.85

Official name: boston1-gtei.bellatlantic.net
IP address: 141.154.0.84

Official name: boston2-gtei.bellatlantic.net
IP address: 141.154.0.85

And s’more:

Official name: ns.bellatlantic.net
IP address: 199.45.32.37

Official name: ns1.bellatlantic.net
IP address: 199.45.32.40

Official name: ns2.bellatlantic.net
IP address: 151.202.0.85

Official name: vzdns01.verizon.com.
IP address: 192.76.85.133

Official name: dnsauth1.sys.gtei.net
IP address: 4.2.49.2

Official name: dnsauth2.sys.gtei.net
IP address: 4.2.49.3

Official name: dnsauth3.sys.gtei.net
IP address: 4.2.49.4

Official name: dnspri.sys.gtei.net
IP address: 4.2.35.8

Official name: ns1.qwest.net
IP address: 216.111.65.217

Official name: ns2.qwest.net
IP address: 205.171.16.250

Official name: ns3.qwest.net
IP address: 63.226.138.15

Official name: SVL-ANS-01.INET.qwest.net
IP address: 205.171.14.195

Official name: DCA-ANS-01.INET.qwest.net
IP address: 205.171.9.242

server 4.2.2.1
Default Server: vnsc-pri.sys.gtei.net
Address: 4.2.2.1

server 4.2.2.2
Default Server: vnsc-bak.sys.gtei.net
Address: 4.2.2.2

server 4.2.2.3
Default Server: vnsc-lc.sys.gtei.net
Address: 4.2.2.3

Official name: nsdc.bellatlantic.net
IP address: 199.45.32.38

Official name: home1.bellatlantic.net
IP address: 199.45.32.43