Vírus enviando e-mails de phishing pelo servidor de troca

2

Parece que há um vírus em minha rede em algum lugar que envia e-mails de phishing por meio do meu servidor Exchange. Eu posso ver as mensagens no rastreamento de mensagens e vejo muitos erros de SMTP para conexões NDR e rejeitadas de servidores externos, mas não vejo nenhuma autenticação SMTP e estou registrando até MAX. Como posso encontrar o IP ou o nome do host do PC que está infectado? Ou há alguma outra explicação que o vírus?

A verificação antivírus no servidor está limpa. O servidor não é um retransmissor aberto.

Obrigado

    
por therulebookman 22.04.2010 / 18:26

5 respostas

1

Você pode ser vítima de um ataque de spam NDR reverso. Chamado Backscatter por alguns .. Confira este artigo. Ele fala sobre o SBS 2003, mas o Exchange tem o mesmo problema. Este ataque parece mais comum agora.

Dê uma olhada nisso também. Mais informações talvez. Nós vimos esse comportamento exato em nossa caixa do Ex 2003 recentemente. NDR Spam

Artigo da MS KB

    
por 22.04.2010 / 19:45
2

Diga ao seu firewall para descartar todos os pacotes SMTP de saída para todos os hosts, exceto o seu servidor de e-mail. Isso evitará qualquer spam SMTP direto de qualquer uma das suas estações de trabalho potencialmente infectadas.

Você diz que seu servidor de e-mail não é um retransmissor aberto, mas você está permitindo relés da LAN? Muitas pessoas fazem isso quando configuram MFPs, scanners, etc. Você pode testar pulando em outra estação de trabalho e fazendo:

telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: [email protected]
rcpt to: [email protected]

se você voltar 250 OK , você está permitindo relés, e um bot pode facilmente retransmitir o e-mail do seu servidor de e-mail.

Para encontrar a estação de trabalho que é spam, pegue um laptop, instale o WireShark. Coloque seu laptop em um hub (verifique se é um hub) e conecte sua interface LAN no firewall na porta # 2 do hub e conecte outro cabo da porta # 3 do hub na interface LAN.

Ilumine a captura com um filtro de exibição como:

tcp.port eq 25 && src.ip != <your.mail.server.ip>

    
por 23.04.2010 / 00:12
0

Você pode ver os cabeçalhos de e-mail nesses e-mails de phishing? Procure por Received: from line. Ele informará de que computador esta mensagem está vindo.

->> Received: from infected.computer ([192.168.1.X]) <<---
        by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
    
por 22.04.2010 / 21:02
0

Se você não chegar a lugar nenhum com isso em breve, talvez valha a pena executar wireshark com um filtro adequado para capturar apenas o material SMTP. Dessa forma, você certamente verá qual sistema está envolvido, mesmo que o cabeçalho seja falso.

    
por 22.04.2010 / 23:51
0

Verifique se a filtragem por destinatário está ativada ou desativada. Se estiver desativado e o Exchange estiver configurado para enviar notificações de falha na entrega, o servidor provavelmente aceitará mensagens enviadas a usuários não existentes, fazendo com que a fila seja preenchida com NDRs.

Ativar a filtragem de destinatários provavelmente evita isso. Os e-mails enviados a usuários não existentes simplesmente não serão aceitos pelo Exchange.

    
por 23.04.2010 / 01:57