ironport mail tips

Hier staan tips voor de ironport mail appliance. De mail appliance zal ook in veel gevallen dubbel uitgevoerd zijn vanwege de "next day shipment" methode van ironport en de lage prijs van een dubbele unit. In tegenstelling tot de web appliance is deze in staat in een cluster te werken zodat wijzigingen maar eenmaal ingevoerd hoeven worden. De quarantaines moeten overigens wel per unit benaderd worden. In de meeste gevallen zal de ene unit naar een mx10 record verwezen worden en de andere naar een hoger nummer dus de tweede unit zal alleen standbye zijn zodat de quarantaine van de eerste unit meestal volstaat om te bekijken.

1. Opbouw van de configuratie

Zoals gezegd zal bijna iedereen een opstelling met een dubbele unit hebben. Deze zullen ook praktisch altijd in de dmz staan. Er zullen dan twee aparte MX records zijn die naar de beide units verwijzen. Is de ene unit down dan zal de mail naar de andere gestuurd worden. Daarbij is een externe partij (provider) handig als derde MX record; mocht de internet verbindig eruit liggen dan wordt de mail niet gebounced maar gerelayed door die partij en na enige tijd alsnog aangeboden worden.
Van binnen naar buiten kan gekozen worden de mail direct door de mailservers af te laten leveren of de ironports als smarthost te kiezen. In het laatste geval zullen de ironports het uitgaande mailverkeer ook filteren. Dit biedt tevens de mogelijkheid een disclaimer aan uitgaande mail te hangen of andere content filters te gebruiken.
Raadzaam is zowiezo om alle mailverkeer naar buiten te blokkeren behalve vanaf de mailservers naar de ironports en op die laatste in te stellen vanaf welke domeinen en welke mailservers en gerelayed mag worden.
[boven]

2. Senderbase

De ironport units, zowel web als mail, werken volgens het senderbase principe. Dit betekent dat bij elke binnenkomende mail hij een request doet naar de senderbase om de score te weten te komen van de mailserver die de mail verstuurd heeft.
De senderbase schijnt 40% van alle mail ter wereld te registreren. Wanneer een mailserver malware verstuurd krijgt deze een slechte score en mag geen mail afleveren. Ook als een valide mailserver opeens vele malen meer mail gaat versturen gaat de score omlaag.
Op deze manier wordt bijna alle spam al buiten de deur gehouden met alleen het senderbase principe. Bij de units die ik beheer gaat het om rond de 90% spam dat zo buiten de deur gehouden wordt en 1.5% via het spamfilter erachter.
Dit betekent dat als het spamfilter een foutje maakt de schade maar 10% is vergeleken met een spamfilter dat alle mail op content beoordeelt. Tevens is de quarantaine nog te overzien. Nadeel is dat mail van een valide mailserver die een "ongelukje" heeft gehad aan de deur geweigerd wordt en dus ook niet alsnog te detecteren of door te laten is. Het is wel mogelijk een policy te maken die een slechte score negeert en de mail toch aanneemt.
[boven]

3. Zelf content filters maken op trefwoorden

Net als het maken van een incoming content filter voor afzender adressen kan een filter gemaakt worden voor trefwoorden. Geef het bij voorkeur een zinnige naam als "content.filter" en koppel het weer aan de policy. Er kunnen in een filter meerdere triggers en meerder akties opgegeven worden al zijn enkele akties ook enkel (een drop is een drop). Bij de triggers kunnen dan steeds trefwoorden opgegeven worden.
Onder aktie kan opgegeven worden dat de spam naar de quarantaine gaat zodat deze door de beheerder nog te controleren is.
Dit kan handig zijn als er bepaalde spam steeds opduikt en deze blijkbaar nog niet bekend is. Meestal betekent dit dat na een paar dagen het filter geen hits meer geeft en de trigger verwijderd kan worden. Deze berichten zijn terug te vinden in de quarantaine onder policies en als de ironport het zelf ook als spam detecteert staat er [spam] in het onderwerp dus als dat er steeds bij staat kan de trigger eruit om de boel schoon te houden.
[boven]

4. Melden van spam

Er komt af en toe ook echt wel spam doorheen. Het is dan raadzaam dit ook te melden bij ironport zodat ze de filters kunnen aanpassen. Dit kan op twee manieren; via een plugin in outlook of door de mail door te sturen naar spam@access.ironport.com.
Overigens hoorde ik van ironport support dat als je een mail uit de quarantaine verwijdert ze daar ook een bericht met headers van binnenkrijgen.
De plugin in outlook is handig maar het betekent dat je alle users de plugin zou moeten geven en dat wil je denk ik niet. Leuk voor beheerders.
Het is wel van belang de gebruikers voor te lichten dat als ze spam hebben ze deze doorsturen naar een beheerder of servicedesk en daarbij er op letten dat ze de mail als bijlage doorsturen en niet inline. In het laatste geval zijn namelijk de headers verloren en hebben ze er bij ironport ook niets meer aan. Deze mail kan de beheerder dan ook weer doorsturen, uiteraard wederom als bijlage, naar het spam adres van ironport.
Omgekeerd kan het ook voorkomen dat een mail ten onrechte geblokkeerd wordt, deze mails kunnen gestuurd worden aan ham@access.ironport.com.
Ironport claimt binnen 24 uur deze mails verwerkt te hebben.
[boven]

5. Mail naar alice.nl wordt gebounced

Mail naar adressen bij alice.nl worden opeens gebounced met onderstaande melding:

(DCID 113998) Message 92099 to nobodyspecial@alice.nl bounced by destination server. Reason: 5.1.0 - Unknown address error ('554', ['5.7.1 : Helo command rejected: Host not found'])

Alice resolved blijkbaar (sinds kort? nog niet eerder klachten gehad) wat je als helo geeft en dat is de naam van de ip interface van de ironport. Je zal daar maar geen publiek bekende naam in gezet hebben.

Deze naam staat los van de hostname die via de cli gegeven is met "sethostname" en die gebruikt wordt voor de clusterconfig. Bij network/interfaces kan dus zonder problemen de naam gewijzigd worden in een publiek te resolven naam.
[boven]

6. Appliances in een cluster upgraden

Het is raadzaam de appliances regelmatig te updaten, via de GUI is te zien of er updates zijn. Omdat de units in een cluster staan is het wel belangrijk dit op de juiste manier te doen want machines in een cluster moeten dezelfde software versie hebben.
Om de units stuk voor stuk te upgraden moet eerst de eerste machine losgekoppeld worden van het cluster, de mailstroom gestopt worden en daarna geupgrade worden tot de laatste versie (upgrade/reboot/upgrade/etc tot er geen updates meer zijn). Daarna de mailstroom weer op gang brengen en als alles werkt dit ook doen voor de tweede unit. als beide machine up to date zijn en dezelfde versie weer hebben kunnen ze weer gekoppeld worden aan het cluster.
Controleer wel even of de mailserver de mail echt naar beide ironports kan forwarden.
Log in op de eerste appliance en doe:
clusterconfig mail1.domein.nl disconnect
suspendlistener
upgrade
resume
Test of alles weer werkt op de eerste ironport en log in op de tweede:
clusterconfig mail2.domein.nl disconnect
suspendlistener
upgrade
resume
Test of hier ook alles weer werkt en de versies echt gelijk zijn en geef op een van de machines deze commando's:
clusterconfig mail1.domein.nl reconnect
clusterconfig mail2.domein.nl reconnect
[boven]

7. Berichten uit qeue wissen

na misconfiguratie van een unix server werd interne mail naar de ironport gestuurd die ziet dat het op die host thuishoort en de mail terug stuurt. Echter die server heeft poort 25 niet open en de mails blijven in de qeue staan. Deze kunnen via de cli met het commando deleterecipients gewist worden.
deleterecipients
[1] by recipient host   --> servernaam.domein.ext
[2] by From address     --> root@servernaam.domein.ext
het commando: showrecipient laat de mail qeue zien. Dit kan prima in de GUI maar we zaten al in de cli en dit gaat sneller.
[boven]

Website door Wouter Barendsen, 2005-2016