O Exchange 2010 envia spam

5

Eu tenho um Exchange Server 2010, que usa um host inteligente para enviar e-mails. Um dia atrás, o proprietário do host inteligente entrou em contato conosco e nos disse que enviamos spam.

Eu tentei um teste de retransmissão aberto diferente na rede e todos eles voltaram dizendo que este servidor está seguro e não pode ser usado como servidor de retransmissão. Mas eu posso ver no meu Visualizador de Filas do Exchange que continua vindo em novas mensagens. Aqui está um exemplo de como é.

Identity: mailserver74128
Subject: Olevererbart:: [email protected] Pfizer -75% now
Internet Message ID: <[email protected]>
From Address: <>
Status: Ready
Size (KB): 6
Message Source Name: DSN
Source IP: 255.255.255.255
SCL: -1
Date Received: 2010-12-09 21:46:22
Expiration Time: 2010-12-11 21:46:22
Last Error: 
Queue ID: mailserver74
Recipients:  [email protected]

Como posso proteger mais o nosso servidor Exchange para impedir que isso aconteça?

Eu poderia ter um vírus que conecte o nosso servidor de troca e envie o email que?

Como posso ver que o endereço "De" é sempre < & gt ;, há alguma maneira de eu parar de enviar e-mails que não tenham um endereço "de" que eu descrevo?

Por favor, ajude

    
por Magnus Gladh 09.12.2010 / 21:54

5 respostas

12

Como você já experimentou os testes de retransmissão aberta da Internet, isso significa que é um computador na rede interna que envia spam. É mais provável que seja uma máquina comprometida com um vírus, de modo que é necessário abordar também com urgência.

Parece-me que você tem um Conector de Recebimento que é configurado para permitir retransmissão aberta de dentro da rede (é por isso que os testes externos não o pegaram).

Os logs de controle de mensagens devem informar a você quais emails do Conector de Recebimento estão sendo recebidos, portanto, será necessário examinar as propriedades desse Conector de Recebimento e torná-las mais restritivas. Use o comando Get-MessageTrackingLog -MessageId "<<Spam Message ID>>" |ft MessageId, ConnectorId no Shell de Gerenciamento do Exchange para fornecer o Conector de Recebimento que está passando.

Meu palpite é que seu conector de recebimento está configurado para aceitar e-mails de toda a sua rede interna (por exemplo, 10.1.1.1 a 10.255.255.255) em vez de endereços IP específicos que precisam enviar e-mails não autenticados.

A prática padrão é deixar o Conector de Recebimento que foi criado quando você instalou o Exchange como está e criar um novo Conector de Recebimento (por exemplo, "Permitir Retransmissão Anônima") com as seguintes configurações.

  • Na guia Rede , ouça todos os endereços IP disponíveis na porta 25
  • Na guia Rede , adicione todos os endereços IP que precisam enviar e-mails não autenticados (impressoras, servidores web, software de monitoramento, etc.)
  • Na guia Autenticação , desmarque tudo, exceto Protegido externamente (por exemplo, com IPSec)
  • Na guia Grupos de permissões , desmarque tudo, exceto Exchange Servers

Editar : Desculpe! Na última linha eu disse "desmarque tudo", exceto Anynymous users - eu realmente quis dizer "desmarcar tudo", exceto Exchange Servers . Meu mal: '(

    
por 09.12.2010 / 23:47
2

Se a sua configuração de retransmissão estiver correta e você não estiver configurado como um retransmissor aberto, é mais provável que ocorra uma das seguintes ações:

  1. Uma conta de usuário comprometida está se conectando ao seu serviço SMTP acessível publicamente, autenticando e enviando spam
  2. Um servidor em sua rede autorizado a retransmitir não autenticado pelo Exchange fica comprometido e envia spam pelos seus servidores do Exchange
  3. Como acima, mas com uma máquina de desktop

Em qualquer caso, você deseja verificar seus Relatórios de entrega para o endereço de destino nesse e-mail, que deve fornecer tanto o usuário remetente quanto o sistema de origem da mensagem.

    
por 09.12.2010 / 23:34
0

Quais são os protocolos do cliente que você ativou e todos eles estão configurados para exigir a autenticação do cliente antes de aceitar o envio de e-mail?

Você também deve procurar os recursos do Exchange Anti-Spam .

    
por 09.12.2010 / 22:14
0

Eu tentei o comando no Powershell, mas o connectorid está vazio. Isso pode ser porque na verdade não foi enviado (eu encontrei o id da mensagem no Visualizador de filas).

Eu pude ver um diferente dos e-mails que eu criei e o e-mail de spam no id da mensagem e é que nos e-mails que eu crio o nome do servidor de e-mail é fornecido, mas nas mensagens de spam é apenas o nome do domínio.

ex: [email protected] vs [email protected]

Eu acho que preciso configurar algum sniffer de rede no meu servidor de e-mail e tentar ver de qual computador na rede que está enviando os e-mails ...

Esta é a informação que recebi do comando power shell:

Identity : MAILSERVER\Default MAILSERVER AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer Bindings : {192.168.0.5:25} Enabled : True PermissionGroups : AnonymousUsers, ExchangeUsers, ExchangeServers RemoteIPRanges : {0.0.0.0-255.255.255.255} 
Identity : MAILSERVER\Client MAILSERVER AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS Bindings : {192.168.0.5:587} Enabled : True PermissionGroups : ExchangeUsers RemoteIPRanges : {192.168.0.0/26}

Fecho a porta 25 no firewall e o spam é interrompido. Então tem que ser um revezamento aberto. Mas é estranho que ele passe por todo o teste e não tenho ideia de como pará-lo.

Se eu remover o AnonymousUsers (que parece uma boa idéia ...) do Conector padrão, os spams serão interrompidos, mas não consigo receber emails. Get "O erro que o outro servidor retornou foi: 530 530 5.7.1 O cliente não foi autenticado (estado 13)." erro, quando alguém tenta enviar e-mails para o nosso servidor.

    
por 10.12.2010 / 16:55
0

Eu tive o mesmo problema. Foi devido a um computador na rede enviando spam. É difícil localizar o computador, mas consegui encontrá-lo de uma maneira um pouco diferente. Aqui está uma maneira de encontrar o culpado. ISSO TOMARÁ A REDE MOMENTÁRIA.

Pegue e instale o Wireshark em um computador que você não se importa de perder por algum tempo. Obtenha um HUB (sim, um desses dispositivos de rede antigos :)). É importante que este seja um hub, pois isso encaminhará todo o tráfego para todas as portas. Conecte o hub entre a rede e o modem. Conecte o computador com o Wireshark ao hub também. Como abaixo

Internet ----- Hub ---- WireShark Computador E Interruptor

Agora, quando você abrir o Wireshark e começar a capturar, você receberá TODO o tráfego da rede. Eu configurei filtros de captura para ignorar todas as portas, mas 25 e todos os IPs que eu conheço estão bem.

    
por 11.01.2011 / 19:55