Nos últimos dois dias, em determinados intervalos, uma carga enorme de e-mails é despejada em meu servidor Exchange 2003 e retransmitida até que ela fique na lista negra em todos os lugares.
Nada como isso aconteceu por muitos anos e eu não acho que o servidor seja um retransmissor aberto. Testes on-line na web dizem que não, e as configurações são as seguintes:
Eu preciso deste servidor para retransmitir mensagens da rede interna para o exterior, mas também preciso retransmitir mensagens de usuários internos em dispositivos fora da rede para o exterior e também preciso de servidores externos para enviar emails para usuários internos , então não vejo como posso restringir essas configurações ainda mais.
Suspeitei que era um PC interno que foi infectado ou uma conta de usuário que foi comprometida e está sendo usada de fora. Eu olhei através dos logs e parece que a comunicação está vindo de fora, então eu pensei que o mais tarde era verdade, no entanto, não consigo identificar o usuário que foi usado para autenticar a partir dos logs, para que eu possa mudar suas senhas.
Eu achei que ativei todos os campos de registro relevantes e é isso que recebi:
2013-06-15 07:10:54 201.211.238.228 User MyServerName 192.168.0.1 EHLO - +User 250 0 304 9 2250 - -
2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 MAIL - +FROM:<[email protected]> 250 0 44 31 0 - -
2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 RCPT - +TO:<[email protected]> 250 0 32 29 0 - -
2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 DATA - <[email protected]> 250 0 122 1452 797 - -
2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 QUIT - User 240 5343 58 4 0 - -
O email no campo de não é um domínio interno.
Então, minha principal pergunta seria como identificar o culpado. Uma questão secundária seria se eu deveria estar configurando a retransmissão de maneira diferente, para que esses problemas não aconteçam.
Tags smtp spam exchange-2003