Elimine a Lista Negra de E-mail através da comutação de IPs e Servidores

2

Somos uma empresa legítima. Nós tivemos alguns problemas no passado com ataques de vírus / bots de spam recebendo nosso servidor de e-mail na lista negra.

Após o ataque mais recente, fui incumbido de criar uma solução que nos permitisse, uma vez determinados os bloqueios, mudar para um servidor e IP limpos

Veja como meus superiores esperam que isso funcione ... (Eu sinto que a maneira como o e-mail é configurado e monitorado pelas listas negras pode não funcionar como eles esperam ... embora as listas negras funcionem em IP e não em domínio nome ....)

Determine qual computador ou servidor de troca está infectado. Mover para limpar o servidor do Exchange ou remover o computador infectado da rede Mude a empresa para um servidor de troca funcional e livre de vírus. (um secundário está de prontidão) Mude o servidor do Exchange para um endereço IP secundário para evitar a lista negra.

A ideia aqui é migrar para um servidor livre de vírus e um IP desbloqueado.

Perguntas:

  1. Isso é possível?

  2. Vamos ser bloqueados novamente? (vamos supor que não estamos enviando spam no servidor secundário e IP)

  3. Como posso conseguir mover os usuários de uma troca para outra. Mover caixas de correio demora muito tempo. Ambos os servidores de troca estão no site (fisicamente lado a lado)

  4. Com a reputação de e-mail tão ponderada quanto é. É razoável esperar que o email enviado do IP secundário atinja a Caixa de entrada dos usuários?

Eles esperam que isso leve menos de 30 minutos para fazer a troca do servidor de troca infectado (pior caso) por IP bloqueado para limpar o servidor de troca com IP limpo.

Server 2003 R2 Exchange 2003 SP2 Diretório Ativo

Assistência / Conselhos / ou Alternativas são TODAS Apreciadas! Obrigado a todos Campo

EDITAR: Toda máquina tem o AVG

O Exchange Server não é uma retransmissão aberta e requer autenticação

Eu fiz todos os passos e tomei todas as precauções e ainda estávamos infectados.

EDITAR: BLOQUEADO NOVAMENTE

novo nome do vírus (GRUM)

Isso não está no nosso servidor de troca. De jeito nenhum, digitalizados com tantas coisas. Passou pelo registro eu mesmo. NADA! Verificado todo o outro servidor NADA computadores de usuários digitalizados NADA WTF?

O que é estranho é que o email ainda passa, mas estamos no CBL ...

Movido SMTP para porta não padrão. Bloqueou explicitamente a porta 25 no firewall. nos delirou.

ATUALIZAÇÃO:

Adicionei IPs adicionais. Agora, como conecto os usuários em um IP ao servidor no outro IP? Eu só tenho o servidor do Exchange tem 2 IPs (um para cada rede interna) ou há mais para isso?

UPDATE 2

Esta é uma resposta ao comentário do @Madboys sob a sua resposta:

Eu ainda não fiz isso. aqui está a configuração. Agora temos 5 IPs. Eu vou usar 2 por enquanto. 1 para rede de escritório. 1 para troca. Nosso modem contém os dois IPs enviados para uma porta na parte traseira da máquina. Esse cabo de LAN entra em um switch que então se divide em 2. Cada um entra em nosso modem (dual Wan RV042) Eu atribuo a troca a uma sub-rede. Rede para o outro. Por favor confirme este plano. Idealmente, um PIX ou um aparelho FW similar seria o melhor. Mas, novamente, 0 dólares devem ser gastos. A pergunta é como os usuários de uma sub-rede falam com a outra? Devo configurar isso de forma diferente? Redes completamente separadas?

UPDATE 3

**** OK, eu consegui fazer isso. Modem para mudar, então eu tenho 3 cabos fora do switch. 1 Vai para um WRT54G para wireless e para separar consultores externos em sua própria rede (eles não têm nenhum motivo para estar no nosso). Os outros dois cabos vão para o meu RV042 que suporta Dual WAN. Eu configurei uma segunda sub-rede. Agora, como isolar cada WAN em sua própria sub-rede? Eu acredito que o ponto de Daul WAN neste aparelho é manter o tempo, utilizando ISPs separados .... Por favor, ajudem. Estamos tão perto por favor conselhos TAMBÉM: Eu não vejo quaisquer conexões de saída na porta 25 que não seja do servidor de troca. Então isso é bom. E da troca o tráfego da porta 25 está em uma taxa normal que reflete nosso volume. ****

UPDATE 4

Eu pesquisei o Open WRT e outras soluções. Eu encontrei o PF Sense parece perfeito !. Pensamentos? Eu tenho um antigo P4 que eu posso usar. Então só precisa de algumas placas de rede compatíveis:).

Resolvido:

Layout de rede modificado.

RV042 suporta 1: 1 Nat

Wifi isolado em 1: 1 Nat usando WRT54G

Usando 2 nics no servidor do Exchange

IP de 1: 1 mapeado para smtp e OWA, etc. Outro para tráfego de rede.

Obrigado pela ajuda e ajuda com esta questão.

    
por Campo 07.12.2010 / 22:45

6 respostas

4

Eu possuo servidor Exchange 2003 e só fui colocado na lista negra uma vez. Você deve estar fazendo algo errado para ficar na lista negra tanto. Eu corrigi-o fazendo o seguinte:

  1. Usando o mxtoolbox para verificar as configurações atuais do servidor para ver se o IP não está bloqueado e se o Exchange está configurado corretamente (negando qualquer tipo de porta aberta). Crie um registro SPF no DNS.
  2. Coloque as conexões de entrada / saída de troca em IP que são usadas apenas pelo Exchange e nada mais.
  3. Coloque os usuários em diferentes IP externos (nat) e bloqueie a porta 25 no firewall para que os usuários não possam enviar e-mails na 25ª porta. Eles sempre podem usar 587 e outras portas SSL para enviar e-mails para seus servidores.

Essas 3 regras devem deixar claro para você correr sem problemas de spam. Você pode até mesmo passar e não listar seus IPs já incluídos na lista negra. MxToolBox irá ajudá-lo muito com isso.

Só para adicionar, talvez você deva pedir ajuda. Contrate consultor ou algo assim. Eu posso ajudar se você quiser alguma ajuda.

Para responder a algumas das suas perguntas:

  1. Você não precisa mover os usuários para uma nova troca ou mesmo configurar uma troca adicional para esse assunto. Você pode simplesmente alterar seu IP ou rota para um endereço IP diferente.
  2. Alguns intervalos de lista de listas negras, especialmente intervalos dinâmicos ou intervalos com alta taxa de spam. Alguns intervalos são banidos como dinâmicos, mesmo que não sejam, ou banidos porque você tem uma vizinhança com spam. Mas não se preocupe. Normalmente, você pode simplesmente acessar essa lista de spam e anular o seu próprio IP ou até mesmo torná-lo na lista de permissões. Mas isso só deve ser feito, e somente se você souber que não está enviando spam. Se você fizer isso antes de voltar à lista negra, fazê-lo mais vezes significa mais difícil de remover (ou mesmo impossível).

Então, meu conselho para você é limpar seu ambiente (você pode verificar se ainda está enviando spam em listas de spam, pois eles geralmente permitem verificar o último spam recebido de seu IP - use isso como parte de sua investigação), bloquear 25 portas, colocar troca em diferentes IP, em seguida, outros servidores, usuários e verifique diariamente se você está fazendo OK. Você pode até mesmo se monitorar no MXToolBox para enviar um e-mail se qualquer envio de spam começar.

    
por 07.12.2010 / 23:18
3

Você estará muito melhor protegendo seu servidor Exchange e, em seguida, tentando descobrir como migrar a troca imediatamente.

Instale algum software antivírus no seu servidor Exchange. Proteja seus servidores front-end (aqueles que têm SMTP em execução e os computadores da Internet enviam e-mail para) para que as pessoas não possam enviar e-mails através do servidor de fora de sua rede. Instale alguns softwares antivírus em todos os seus servidores e estações de trabalho.

Depois que tudo isso for feito, você deve estar protegido contra spammers que enviam e-mails através de seus servidores e você deve parar de ficar na lista negra.

    
por 07.12.2010 / 22:54
2

Eu acho que você está colocando muitos ovos na cesta errada. A primeira coisa é a primeira: PROTEJA SUA REDE!

Obtenha algum tipo de verificação de vírus em seu gateway. Um IPS no mesmo local também seria uma ótima ideia.

Coloque um bom software antivírus em todos os seus computadores. Eu sei que nós odiamos isso (eu odeio isso também), mas é um mal necessário. Qualquer coisa que ultrapasse sua primeira linha de defesa deve ser pego pelo AV.

Bloqueie as conexões de saída para a porta 25 de todos os computadores, exceto seus servidores Exchange. Há uma razão pela qual os provedores geralmente fazem isso. É porque isso impede que zumbis de spam sejam mortos. Não posso fazer nada se eles não podem se conectar na porta 25.

Examine os serviços de e-mail de saída. Sou usuário do Postini . Pelo preço, vale a pena. Há outros também. Acho que o Trend Micro, o AppRiver e o Exchange Defender fazem isso ... provavelmente muito mais ...

Quanto à sua solução, definitivamente talvez. A maioria das listas de bloqueio bloqueia endereços IP únicos. Então, se alguém for bloqueado, você pode mudar para outro. Presumo, no entanto, que existem listas de bloqueio que são mais inteligentes do que isso. Tenho certeza de que alguém está bloqueando endereços IP em blocos. Então eu não confiaria nisso como uma solução real.

No que diz respeito a pessoas em movimento, você sempre pode rotear o e-mail por meio de outro servidor do Exchange sem mover as caixas de correio. Não há nada a dizer que só porque a caixa de correio de um usuário está em um servidor que todos os seus e-mails precisam sair da Internet pelo mesmo servidor ... basta configurá-lo no Exchange para passar por um servidor limpo.

    
por 07.12.2010 / 22:56
1

Para adicionar a @mrdenny acima, também proíbe que as estações de trabalho enviem e-mails para fora da rede da empresa. As estações de trabalho só devem poder enviar e-mails através do servidor do Exchange, que enviará o e-mail para o destinatário. Pare a retransmissão anônima no seu servidor Exchange, permita somente conexões seguras e feche a porta 25. Se puder, crie os registros SPF para o seu domínio ( link ). Também é desnecessário ter um software antivírus instalado em suas estações de trabalho e servidores de troca.

    
por 07.12.2010 / 23:01
1

Sim, você pode mudar para um IP e servidor diferente. No entanto, a menos que você rastreie a origem disso e impeça que isso aconteça no futuro, isso quase certamente acontecerá novamente (e novamente :-). Os combatentes de spam não são ignorantes, espere que isso funcione apenas por um tempo antes de implementar um bloco maior e começar a entrar em contato com seus ISPs upstream.

Então, você pode fazer isso, mas não deve ser sua principal resposta para ficar na lista negra.

    
por 07.12.2010 / 23:37
-2

1.Is this possible?

Sim.

2.Will we just be blocked again? (let's assume we are not sending out spam on the secondary server and IP)

Goste de toda a sua rede e todas as redes atribuídas a você serão bloqueadas de uma só vez.

3.How can I accomplish moving the users from one exchange to the other. Moving mailboxes takes a LONG time. Both exchange servers are on site (physically beside each other)

  • Atualizar para o Exchagne 2007 ou superior
  • O problema desaparece.

Basicamente, 2007+ permite que você tenha funções diferentes para um servidor. Simplesmente não tem caixas de correio no seu servidor front-end, use-o apenas para troca de e-mail. Mas, com a configuração de 2010 e não estúpida, você nunca teria o problema.

4.With email reputation as heavily weighted as it is. Is it reasonable to expect email sent from the secondary IP to reach the users Inbox?

Sim.

Dito isso, nunca tive um problema com spam em 15 anos em nenhum dos meus servidores. Então, seu problema não é o computador, seu problema é um administrador que não consegue proteger algo tão simples quanto um remetente SMTP dedicado.

    
por 11.12.2010 / 19:56