ObecnéNávody

Mail Watch

Naši zákazníci na hostingovém serveru, jakož i ti, kdo mají od nás nainstalovaný antispamový systém, mají přístup ke karanténě e-mailů.

Karanténa primárně slouží k odkládání zpráv s nebezpečným obsahem. Nicméně poskytuje statistiky o všech e-mailech, které antispamovým systémem MailScanner prošly. Nabízí tak mnohem víc.

K webovému rozhraní MailWatch se dostanete na adrese:

 http://host1.grumpa.net/mailscanner/

Následně se přihlásíte svým jménem a heslem. Přihlašovací údaje pro firemního správce domény jste dostali v úvodním e-maily. Správce může umožnit přístup dalším uživatelům z jeho domény tak, že je přidá v sekci Toos/User management.

Horní část obrazovky

V horní části nad menu je legenda k barvičkám, kterými jsou jednotlivé řádky týkající se mailů obarvené. Takže např. šedivé jsou dobré maily, červené trochu - spam, hodně - highspam a rudě viry/nebezpečné přílohy... Číst umíme.

Vedle je informace o tom, kolik aktuálně běží na serveru procesů MailScanneru a mail serveru (Sendmail, Postfix,...) a aktuální zátěž serveru. Celkem nepodstatné údaje.

Vpravo jsou pak souhrnné statistiky za dnešní den:

  • Počet zpracovaných zpráv celkem
  • z toho čistých
  • kolik bylo virů
  • který virus se vyskytoval nejčastěji
  • kolik mailů skončilo v karanténě kvůli nedovoleným přílohám
  • Others - ostatní - co se jinam nevešlo
  • kolik bylo spamu (tj 5-10 trestných bodů)
  • kolik highspamu (od 10 trestných bodů výše)
  • MCP (Mail Content Protection) kontroly máme vypnuté, protože nejsou moc spolehlivé

Dále vidíme hlavní menu:

Recent Messages
poslední doručené zprávy. Tato stránka se každých 30 vteřin automaticky aktualizuje.
Lists
zde si můžete spravovat svoje vlastní white a black listy.
Quarantine
přístup ke zprávám, které skončily v karanténě.
Reports
velmi bohatá část na možnosti
Tools/Links
zde je hlavně možno vytvářet přístup dalším uživatelům do karantény
Logout
odhlášení z MailWatch.

Recent messages

Je úvodní položka menu v MailWatch a zobrazuje poslední došlé zprávy na server. Tato stránka se každých 30 vteřin automaticky obnovuje, aby zobrazovala aktuální stav.

Vidíme tu v řádcích informace o jednotlivých e-mailech:

#
kód zprávy. Každý e-mail dostane od mail systému svoje jednoznačné číslo, podle kterého je pak možné ten mail dohledat. Na kód zprávy se dá kliknout a dostat se do podrobných informací o e-mailu.
Date/Time
Datum a čas zprávy
From
Adresa odesílatele
To
Adresa, na kterou byl e-mail poslán
Subject
Předmět mailu
Size
Velikost zprávy včetně příloh
SA Score
Kolik trestných bodů zprávě napálil antispamový program SpamAssassin (SA)
Status
Jak o zprávě rozhodl MailScanner/MailWatch

Podrobné informace o e-mailu

Toto sice není položka v menu, ale umístím tyto informace sem, protože s podrobnostmi se budeme setkávat v dalších částech menu. Porozhlédněme se tu:

V horní části vlevo jsou různé podrobnosti o e-mailu včetně hlaviček. Níže pod žlutým pruhem Anti-Virus/Dangerous Content Protection jsou výsledky antivirové kontroly. Dále pruh SpamAssassin, kde se dovídáme, jak SA ohodnotil mail. O něco dále si můžeme přečíst za co mail sbíral trestné body. Jsou to poněkud nesrozumitelné zkratky, ale při troše snahy se dá jejich význam vytušit. Následuje část MCP, kterou nepoužíváme - bude vždy O.K.

Úplně dole je blok Quarantine - karanténa. A řádky, týkající se každé části e-mailu. Jsou tu ovládací prvky, které navádějí, co můžeme se zprávou provést:

Release
uvolnit z karantény. Tzn, že zpráva bude zaslána původnímu příjemci. To se hodí u e-mailů, které spadly do karantény z důvodu nedovolené přílohy. V posledním řádku Alternate Recipients můžeme zadat jiné(ho) příjemce mailu. Třeba administrátora, který mail pak prozkoumá.
Delete
smazat z karantény.
SA Learn
učit SpamAssassin. Hodí se u zpráv, které byly chybně označené jako čisté, nebo jako spam. Můžete vysvětlit SpamAssassinu, že je to naopak. V menu Reports - Message Operations můžete tuto činnost dělat hromadně. Ham znamená, že mail je dobrý (není spam).
File/Type/path
označuje části e-mailu. Tedy text, alternativní text (html), přílohy... Kliknutím na path se daná část zprávy zobrazí.

Vraťme se nahoru. První horní pruh říká, že se pod ním nacházejí další zajímavé údaje: IP adresy a jmenné adresy serverů, kudy mail prošel. Země (podaří-li se překlad IP adresy na stát). Následují "hranaté závorky" RBL, Spam, Virus a All. Kliknutím do závorek pod RBL (Realtime Black List) se dostanete na webové stránky jednoho z největších blacklistů. Nic se tu ovšem nedovíte. Jen pro členy klubu :o)

U dalších hranatých závorek se vám objeví seznam zpráv, které s tou zkoumanou nějak souvisejí. Tedy, co přišlo ze stejné IP a bylo spam, či virus. Nebo All nám zobrazí všechny maily, přišlé ze stejného zdroje. Zajímavý nástroj pro hloubavé administrátory.

A ještě si v pravé části všimněme, že tu je dvakrát možnost Add to Whitelist | Add to Blacklist. Jednou nad námi právě prozkoumaným žlutým pruhem a podruhé o něco níže. Souvisí to s druhou položkou hlavního menu Lists. Kliknutím na jeden z těchto odkazů se přeneseme do části Lists a formulářík pro přidávání do white/black listu už bude předvyplněný buď IP adresou (klikneme-li na horní variantu), nebo adresou odesílatele (dolní varianta).

A to je o podrobných informacích všechno.

Lists

Je druhou položkou hlavního menu. Zde můžeme přidávat na white a black list různé kombinace odesílatelů a příjemců.

U odesílatele (From:) můžeme zadat buď IP adresu, konkrétní e-mailovou adresu, nebo jenom doménu (část adresy za zavináčem).

U příjemce (To:) nemůžeme zadat IP adresu. Další dvě možnosti jsou stejné jako u odesílatele.

Dále musíme vybrat, zda výše uvedenou kombinaci chceme přidat na whitelist, nebo na blacklist. Je-li mail na whitelistu, pak je vždycky doručen příjemci, bez ohledu na to, jakého skóre u SpamAssassina dosáhne. Naopak blacklist zajistí, že zpráva vždy spadne do karantény a příjemci doručena nebude.

Podotkněme, že práce SpamAssassina je naštěstí natolik přesná, že tuto část použijeme jen výjimečně. Často se hodí pro firmy, které rozesílají nabídky a zpravodaje, které chceme dostávat, ze špatně nakonfigurovaných rozesílačů mailů. Jejich maily často končí mírně za hranicí spamu.

Na whitelist si taky rádi dáte domény vašich klíčových obchodních partnerů.

Práce s doménou odesílatele je inteligentní. Pokud tu zadáte třeba seznam.cz, a někdo z Číny bude rozesílat spam s podvrženou odesílací adresou seznamu, pak náš B/W-list nenachytá - ověřuje si, zda IP adresa odesílatele skutečně seznamu patří.

Tento formulářík si můžete nechat vyplnit automaticky, když v podrobnostech mailu kliknete na odkaz Add to White/Black List. Do podrobností se dostanete kliknutím na kód mailu v seznamu zpráv v různých částech MailWatche.

Quarantine

Zde máme přístup k e-mailům v karanténě. V našem pojetí padá do karantény všechno - slouží tak spíš jako archiv :o) Je to z toho důvodu, že pokud se nastaví, aby čisté maily do karantény umisťovány nebyly, pak je nemáme k dispozici k učení SpamAssassina.

Stránka zobrazuje jednotlivé dny. Po kliknutí na údaj s datem se nám zobrazí seznam všech zpráv z toho dne. Práce s nimi je stejná jako v části Recent Messages.

Všimněte si, že v záhlaví tu kromě nadpisu je i závorka s (A/D). Na písmenka se dá kliknout, což způsobí seřazení mailů v seznamu podle daného údaje. A = Ascending, neboli vzestupně, D = Descending - sestupně.

Reports

Tady toho je! Tady si můžeme prohlížet seznamy mailů a různé statistiky. Můžeme do nich nechat zapracovat všechny zprávy, nebo jen vybrané. K tomu slouží část Filters nahoře.

Mezi tím je část Statistics, kde se dovídáme jaký je nejstarší záznam v evidenci (na host1.grumpa.net necháváme zprávy v archivu 60 dní). Dále jaký je nečerstvější záznam a počet zpráv (záznamů). Uplatníme-li nějaký filtr, pak se tyto údaje upraví podle filtru.

Filters

Zde jsou tři části:

  • Aktivní filtry
  • Přidat filtr
  • Načti / ulož filtr

Jak to funguje? Nejdříve si musíme nějaký filtr vyvořit v části Add Filter. Jsou tam dvě rozbalovátka, která nám dávají víc možností než kamasútra s biblí dohromady. Spočítejte si to. Třetí část formuláře slouží k zadání konkrétní hodnoty. Některé údaje v prvním rozbalovátku nám rovnou napovídají, co máme zadat. Například Is Whitelisted nám napovídá, že máme v druhém rozbalovátku vybrat is greater then a do řádečku napsat něco většího než je nula. Třeba dvojku.

Po přidání filtru se nám tento filtr objeví v horní části Active Filters. Vedle každého aktivního filtru máme klikací možnost Delete, která odstraní filtr ze seznamu.

Třetí část Load/Save Fiter se hodí v situaci, kdy si nastavíme filtr z několika možností a tak strašně moc se nám líbí a hodí, že bychom si ho museli poznamenat na papír, protože příště už bychom tak úžasný filtr nevymysleli.

Takže v situaci, kdy máme filtry nahozené, si je můžeme uložit pod nějakým názvem. Název napíšeme do textového políčka a klikneme na tlačítko Save - uložit. Od teďka máme náš pojmenovaný filtr uložený a najdeme ho v rozbalovátku pod textovým políčkem. Stačí tu filtr vybrat a kliknout na tlačítko Load. Filtr se objeví v horní části a samozřejmě funguje.

Klikací možnosti

Zdůrazněme zde, že výše nastavené filtry ovlivní vše, na co se tu dá kliknout. Například Top Senders By Quantity nám zobrazí statistiku nejaktivnějších odesílatelů e-mailů. Není-li nastaven žádný filtr, pak se bude statistika získávat ze všech e-mailů v archivu. Zajímají-li nás tedy kupř. jen největší aktivisté minulého týdne, nastavíme si nahoře dva filtry, jeden pro datum do a druhý pro datum od (nebo naopak:o).

Takže, co tu máme:

Message Listing - seznam zpráv
Zobrazí zprávy v seznamu stejně jako to bylo u Recent Messages či Quarantine.
Message Operations - operace se zprávami
Tady se opět zobrazí seznam, ale slouží k učení SpamAssassina. Vlevo jsou bubliny, kde můžeme u každé zprávy vybrat, zda jí považovat za Spam, Ham (tj. dobrý mail), či Forget (zapomenout - tedy od-naučit dříve naučený). Z praktického hlediska se mi toto vše zdá celkem nepraktické. Antispamy jsme museli učit v dobách, kdy dělaly strašně moc chyb. SpamAssassin je velmi přesný, a tam kde chceme mít jistotu spíš sáhneme po Whitelistu. Kdo chce přesto učit SpamAssassina, má smůlu, protože to stejně nefunguje. Nejaká chyba v MailWatchi. Slibuji, že jí odstraním, až bude trochu času (slíbeno 25.9.2008 - uhánějte mě!).
Total Messages by Date - souhrn zpráv za jednotlivé dny
Na první pohled nezajímavé, ale koukněte tam občas. Zahlédnete možná dost zajímavé výkyvy. Kromě poču zpráv se tu v zobrazí i objem v Megabajtech, počet spamu, virů... vše hezky v tabulce a grafu.
Top Mail Relays - nejčastější předchozí zastávky mailů
Relay zde označuje mail server, ze kterého vám mail bezprostředně přišel. Nemusí to být nutně SMTP server odesílatele. Zpráva mohla projít více SMTP servery, než dorazila k vám. Tohle je užitečné čtení spíš pro správce serveru. Může se hodit pro házení na blacklist.
Top Viruses
Srozumitelné, že? :o)
Virus Report
Souhrnné statistiky o výskytu virů v e-mailech.
Top tohle a ono
Tady je několik podobných možností, takže si to jen přeložme do češtiny: Senders jsou odesílatelé, Recipients příjemci. By Quantity znamená "podle množství", By Volume podle objemu (megabajty). No a buď nás zajímají konkrétní adresy odesílatelů a příjemců, nebo nás zajímají souhrny za celé domény. Takhle umím vysvětlit osum položek najednou. Tyto statistiky jsou užitečným čtením pro správce serveru, aby viděl, koho má seknout a koho rovnou zaříznout. Zkrátka, kdo mu ucpává linku rozesíláním roztomilých a vtipných obrázků, videí ap. mnoha svým přátelům. Tyto statistiky miluje i management v obdobích, kdy je potřeba snižovat mzdové náklady.
SpamAssassin Score Distribution - rozdělení skóre SpamAssassina
Graf, který ukazuje kolik mailů dostalo kolik bodů. Tedy vodorovně jsou body (ano, začíná se z mínusu; SA přiděluje i záporné body, což je vlastně kladné hodnocení:), svisle počet mailů s daným počtem bodů.
SpamAssassin Rule Hits - použitá kritéria SpamAssassina
Tady vidíme, seznam kritérií, podle kterých SpamAssassin přiděluje body. Vidíme která kritéria byla nejčastěji naplněna a několik další zajímavých údajů.
Audit Log
Jsem ještě neviděl, že by vydal nějaké výsledky. Takže asi další chybka v MailWatchi.

Tools/Links

Tady je hlavně užitečná hned první volba:

User Management - správa uživatelů.

Administrátorům ve firmách dáváme přístup ke všem zprávám, na hostingovém serveru jen k doméně, která je jejich, a to právě díky této vychytané možnosti.

Jakožto administrátoři můžete přidávat uživatele s oprávněním buď stejným jako máte vy (tj. vidět maily celé vaší domény), nebo s oprávněním vidět jen jeho vlastní maily.

Pokud už nějaké uživatele máme, pak se nám tu zobrazí jejich seznam a klikátko New User pro přidání nového uživatele.

U existujících uživatelů máme vpravo tři možnosti. První dvě jsou jasné: Edit a Delete. Třetí Filters slouží k přidávání aliasů pro konkrétní uživatele - viz dále.

Přidání / úprava uživatele

Trochu zpřeházím řádky, aby se to lépe objasňovalo.

User Type
Tady se zadává, zda se jedná o administrátora (tuto možnost tam bude mít jen administrátor systému), doménového administrátora, či uživatele. Uživatel má přístup jen k mailům, které odpovídají jeho e-mailové adrese. Doménový admin vidí všechny maily, které odpovídají jeho doméně. A to se zadává jako uživatelské jméno:
Username
Sem zadáváme jméno uživatele. To má dost přesná pravidla. U doménového administrátora sem zadáváme jméno domény, kterou smí vidět (tedy domain.com). U uživatele sem zadáváme jako jeho jméno jeho mailovou adresu (user@domain.com). Jméno tedy slouží současně jako filtr zpráv. U uživatelů můžeme později přidat i aliasy (má-li uživatel více adres). Ty se přidávají u již existujících uživatelů - v seznamu uživatelů klikneme v řádku vpravo na slovo Filters a do formuláříku zadáme další mailovou adresu, kterou může v seznamech zpráv vidět.
Password
Tomu rozumíme.
Další položky
Dle mých zkušeností nefungují a byly hezkým přáním autora. Třeba se je někdy podaří zprovoznit.

ClamAV Status

Tato volba se sice ukazuje každému, ale funguje jen pro administrátory. Zobrazí aktuální verzi antivirového programu ClamAV.

Další položky

Se zobrazují jen systémovému administrátorovi a zahrnují:

  • MySQL Database Status
  • View MailScanner Configuration
  • SpamAssassin Bayes Database Info
  • SpamAssassin Lint (Test)
  • Update SpamAssasin Rule Descriptions
  • Update GeoIP Database

Links

Seznam snad užitečných adres. Např. domovská stránka MailWatche (v době psaní tohoto texu nějak nefungovala). Zajímavý by mohl být odkaz na stránky SpamAssassina, kde se ve formě wiki udržuje dokumentace a můžete se tu mj. dočíst bližší vysvětlení, co znamenají jednotlivá kritéria SpamAssassina za která přiděluje body.

Logout

By nestálo za zmínku, kdyby neobsahovalo zádrhel spočívající v tom, že po odhlášení se ukáže přihlašovací okno, které nefunguje. Takže šetřte klávesnici a vraťte se na úvodní stránku MailWatche: http://host1.grumpa.net/mailscanner/