Forum

Bildirimler
Hepsini Temizle

[Çözüldü] Symantec Messaging Gateway - 554 Policy Violation mesajı

Evren Yeni
(@evrenyeni)
Üye

Merhaba,

Çalıştığımız kurumda Symantec Messaging Gateway (eski adıyla Brightmail) e-posta güvenlik sistemi kullanılıyor.

İşyerinde çalışan insanlara ait aynı domain adresine sahip e-posta adreslerine zaman zaman dışarıdan google ya da inbox kullanarak toplu e-postalar atıyoruz.

Her seferinde bu e-postaların rastgele bir bölümü sekiyor ve ulaşmıyor. Hata mesajı şu şekilde:

8 Mar 2022 1016
Geri sekti
Google tried to deliver your message, but it was rejected by the server for the recipient domain <a href="http://xxxxxx.xxx.tr" target="_blank">xxxxxx.xxx.tr</a> by <a href="http://mail1.xxxxx.xxx.tr" target="_blank">mail1.xxxxxx.xxx.tr</a>. [12.3.45.678]. The error that the other server returned was: 554 Policy violation. Email Session ID: {6226FFB4-1E-DFFF5A52-<wbr>D5AC3223}

Seken aynı mesajı aynı kişilere tekrar gönderince ulaşabiliyor. Bir e-postada bounce olan bir adres başka e-postada bounce olmuyor. Hiçbir örüntü bulamıyoruz. 400 adrese gönderiyoruz 100 adet sekiyor, 50 adrese gönderiyoruz 7 adet sekiyor. Hemen ardından bu seken 100 adrese bir daha gönderiyoruz ve 80'i ulaşıyor. Bir gönderdiğimizde seken adreste başka bir sefer sekme olmuyor.

İşyerimizdeki bu yazılımla ilgili görevli bize bir audit log gönderdi ve bizim adresimizden gönderilen hiçbir iletinin engellenmediğini söyledi. Gerçekten de logdaki tüm iletiler ulaşmış görünüyordu ama engellenen iletilerin hiçbiri log içerisinde yoktu. Logda sadece başarılı iletiler vardı.

Burada 3 soru sormak istiyorum?

1- Engellenen mailler neden audit logda görünmüyor?

2- Bu e-postalar neden engelleniyor olabilir. Hangi policy violation kuralına takıldığımızı nasıl görürüz?

3- Email Session ID yi Symantec Messaging Gateway'de nasıl aratabiliriz? 

Alıntı
Konu başlatıcı Gönderildi : 10/03/2022 17:51

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Bu support açılması gereken ve iki taraflı detaylı analiz gerektiren bir konu bence.

"İşyerinde çalışan insanlara ait aynı domain adresine sahip e-posta adreslerine zaman zaman dışarıdan google ya da inbox kullanarak toplu e-postalar atıyoruz."

bu kısmı ben anlayamadım.
Sadece fikir, yönlendirmede bulunabilirim.

Bu durumun gönderici ve alıcı tarafta kontrol edilmesi gerekenleri var. Gönderici tarafta özellikle google gibi servisler ve toplu mail için 3rd sender gateway'ler kullanılıyorsa dakika bazlı gönderim ve alım limitleri vardır. Bunları bulup bunlara göre yapılandırmanızı check etmeniz gerekir. Alt kısımda yazdıklarınıza paralel örneğin google dan karşı tarafa mailler aşım olduğu için zaten ulaşmıyor olabilir ve doğru log'u alamıyor olabilirsiniz.
3rd Toplu gönderimlerde özellikle alıcı tarafta filter'lar da session, connection sayısına göre hareket ettiğinden sn bazlı geciktirme uygulanır. 

Alıcı tarafta ise konumunu hatırlamıyorum inbound tarafta max connection ayarı var bu sizin gönderim sıklığınıza uymuyorsa yanıt vermez gönderici reddedildi yanıtı alır örüntü bulamamanızın sebebi bu olabilir ve bunun arttırılması gerekir. En iyi başvuru noktası smg support portalı. 🙂
Bunun çok arttırılması da istenmez email bomb yani DoS attack gibi spoofing yaptığından bazıları. Connection limiti çok yukarda olursa iç bacaktaki rule'lar çakılmaya başlar.
Fakat reddedilenler düzgün çalışan bir SMG de mutlaka log'a yansır SMG de çok fazla log var yine ezbere hatırlamamak üzere connection log'larından mutlaka fikir çıkacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 10/03/2022 18:57

Evren Yeni
(@evrenyeni)
Üye

Merhaba,

Ayrıntılı açıklamanız için çok teşekkür ederim.

Gönderen: @ibrahimyildiz

Fakat reddedilenler düzgün çalışan bir SMG de mutlaka log'a yansır

Bu tespitiniz üzerine acaba önceki başka bir aşamada mı e-posta sekiyor diyerek bir araştırma yaptım ve aşağıdaki postlara rastladım:

https://community.checkpoint.com/t5/Threat-Prevention/Private-SMTP-Commands/m-p/8983

https://social.technet.microsoft.com/Forums/office/en-US/f5589cf0-f5ae-4c3d-b0b7-58c29fbc2cac/exchange-2010-send-connector-and-554-policy-violation-email-session-id-xxxxxxx?forum=exchangesvrsecuremessaginglegacy

https://www.cpug.org/forums/showthread.php/17198-Email-policy-violation-but-nothing-in-log

Bu postlardan anlaşılan, sorun SMG'den değil onun önünde yer alan checkpoint firewalldan kaynaklanıyor imiş. Birinci posttan anladığım kadarıyla birden çok kişiye dağıtımlı bir e-postanın sadece bir ya da bir kaç kişiye gitmeyip diğerlerine gitmesine checkpoint firewall, nedeni bilinmeyen bir şekilde, sebep oluyor.

CevapAlıntı
Konu başlatıcı Gönderildi : 11/03/2022 11:57
Hakan Uzuner beğendi

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Güzel bir analiz olmuş çözümlemişsiniz. Bu tip aksiyonlar özellikle gelişmiş firewall'larda oluyor bazen çözümlenmesi zordur. Bu tip durumlara bir işleve yönelik olduklarından bir sorun demekte zor olabiliyor açıkçası.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/03/2022 15:40

Paylaş: