Exchange Server 2010 retransmitindo spam

2

Recentemente, comecei a receber relatórios de feedback de spam da AOL em nosso servidor Exchange. Enquanto investigava, descobri que centenas de mensagens de spam estavam sendo transmitidas através do nosso servidor de troca. Embora eu esteja tendo problemas para descobrir o porquê.

O registro de acompanhamento mostra os eventos SMTP de recebimento e envio para cada mensagem de spam originada de um ip que pesquisa inversamente para Washington DC.

Parece que eles estão atingindo nosso servidor entre as 2h e as 4h da noite anterior. Bater diferentes domínios a cada noite também.

O spam é uma imagem extraída de um site russo. O remetente e o endereço do destinatário são os mesmos para que o usuário seja induzido a abri-lo.

Eu verifiquei nossos conectores de recebimento e nossa configuração do conector de envio e tudo o que está configurado para ser configurado corretamente. Eu corri uma verificação de retransmissão aberta de MXtools e passou. Eu usei uma ferramenta smtp para tentar retransmitir uma mensagem e não consegui, a menos que eu autenticasse. Como usuário autenticado, consegui transmitir uma mensagem de um endereço externo para um endereço externo.

O que me leva a acreditar que o remetente de spam está se conectando por meio de uma sessão smtp de usuário autenticado. No entanto, não tenho absolutamente nenhuma ideia de como examinar os logs do Exchange para ver em qual usuário eles foram autenticados ou até mesmo como eles conseguiram transmitir a mensagem pelo Exchange.

Alguém pode lançar alguma luz sobre isso?

    
por Benjamin 31.07.2013 / 01:20

1 resposta

2

Você deve ter 2 ou 3 conectores de recebimento. Não se deve ter nenhuma opção de autenticação marcada e operar na porta 25 e estar vinculada ao seu endereço IP externo para receber mensagens recebidas. O segundo deve estar vinculado a um endereço IP interno somente na porta 25 e / ou 587, com autenticação obrigatória e restrito a IPs internos ou intervalos de IP permitidos para uso por dispositivos internos e serviços como scanners e software de monitoramento. O terceiro é opcional e é executado na porta 587, requer autenticação e TLS e é vinculado a um ip externo para uso por seus funcionários fora do seu perímetro.

Agora, como o primeiro conector de recebimento permite apenas conexões anônimas, ele proíbe automaticamente a retransmissão. Isso resolverá seu problema, especialmente se você não ativar o terceiro conector mencionado.

    
por 31.07.2013 / 05:03