Esta manhã, toda a nossa empresa recebeu uma mensagem de spam enviada para [email protected] , em que ourdomain.on.ca é o nosso domínio real. Há um nome distinto ao qual isso pode corresponder:
CN=Users,DC=ourdomain,DC=on,DC=ca
Olhando os atributos, não há e-mail, proxyAddresses, nenhum sinal de que existe uma caixa de correio configurada.
Eu fiz algumas consultas LDAP, procurando por:
(proxyAddresses=smtp:[email protected])
([email protected])
Mas não vejo nenhum registro. (Eu também busco por endereços de e-mail conhecidos para garantir que a árvore esteja sendo pesquisada corretamente.)
Estamos executando o Exchange 2003. Existe outro local para procurar endereços de email de grupo? É possível que o nome distinto esteja sendo traduzido automaticamente para um endereço de e-mail?
Se você está se referindo ao que aparece no campo Para: ou no cabeçalho da mensagem do Outlook, isso é irrelevante. Você precisa inspecionar os logs SMTP do Exchange para determinar os endereços de e-mail reais usados para entregar a mensagem.
O campo Para: pode conter um endereço falso inexistente, se a mensagem tiver um endereço válido no campo Cco :.
Bem, antes de mais nada, antes de passar mais tempo tentando associar [email protected] a um grupo ou pessoa em seu ambiente, deixe-me sugerir que você provavelmente está em uma caça às narcejas.
Como Greg Askew disse, é provável (se não quase certo) que não haja nenhum endereço de e-mail real ou grupo associado ao endereço de e-mail no campo To: ( [email protected] ). Na prática, é bastante comum enviar e-mails de grupo para um endereço falso To: e BCC para os destinatários reais, quando pode não ser apropriado que os destinatários saibam quem está sendo incluído no e-mail. Isso tem aplicativos legítimos (como o envio de um e-mail em massa para vários clientes diferentes), além de utilidade no envio de spam.
[email protected] e BCC para todos os clientes que eu quero receber o email. Eles não precisam saber sobre a existência ou status um do outro como meus clientes, ou para quem eu estou enviando, e isso reduz minha carga de trabalho, tendo que enviar um e-mail em vez de vários e-mails. Para atenuar ou eliminar em grande parte esse tipo de problema com o spam que atinge um grupo de destinatários em seu domínio, há algumas coisas fáceis que você pode fazer no Exchange. (Como na maioria das coisas, essa funcionalidade é mais primitiva em 2003 do que em 2007 ou 2010, mas ainda está lá)
Limite quem pode ou não enviar para os grupos de distribuição maiores.
Não ajudará se todos os seus usuários individuais estiverem listados no BCC (nesse caso, sugiro que você defenda seu diretório e o servidor de email em relação a Ataques à Colheita do Diretório ), mas no caso de isso ser enviado para todos através do envio para o endereço de uma lista de distribuição grande ou global.
Nosso DL global no Exchange 2003:
(Eu acho que há um total de 8 pessoas ou grupos em nossa empresa que podem enviar um email para a lista global, para você ter uma ideia. Grupos menores são mais permissivos em aceitar emails.)
Limitar que alguns ou todos os grupos internos recebam e-mails externos
Essa também é uma boa ideia, geralmente, porque geralmente você não quer que pessoas de fora da sua organização enviem e-mails para grupos dentro dela.
No Exchange 2003, isso é ativado com a caixa de seleção From authenticated users only na imagem acima.
O outro efeito colateral benéfico dessa configuração é que você invariavelmente obtém um luser fazendo uma Reply All em alguma lista de distribuição grande com um comentário asinine ou confirmação de recebimento ( thanks! , was I supposed to get this? , etc.), e isso é sempre desagradável e inconveniente. É melhor eliminá-los antes que eles difundam toda a empresa com sua inanidade invariável, incorreta de ortografia, txt msg .
Soa como spoofing para mim. Eu recomendaria usar um smarthost como o Postini para monitorar seu fluxo de mensagens.