Exchange Server 2010 retransmitindo spam

Recentemente, comecei a receber relatórios de feedback de spam da AOL em nosso servidor Exchange. Enquanto investigava, descobri que centenas de mensagens de spam estavam sendo transmitidas através do nosso servidor de troca. Embora eu esteja tendo problemas para descobrir o porquê.

O registro de acompanhamento mostra os eventos SMTP de recebimento e envio para cada mensagem de spam originada de um ip que pesquisa inversamente para Washington DC.

Parece que eles estão atingindo nosso servidor entre as 2h e as 4h da noite anterior. Bater diferentes domínios a cada noite também.

O spam é uma imagem extraída de um site russo. O remetente e o endereço do destinatário são os mesmos para que o usuário seja induzido a abri-lo.

Eu verifiquei nossos conectores de recebimento e nossa configuração do conector de envio e tudo o que está configurado para ser configurado corretamente. Eu corri uma verificação de retransmissão aberta de MXtools e passou. Eu usei uma ferramenta smtp para tentar retransmitir uma mensagem e não consegui, a menos que eu autenticasse. Como usuário autenticado, consegui transmitir uma mensagem de um endereço externo para um endereço externo.

O que me leva a acreditar que o remetente de spam está se conectando por meio de uma sessão smtp de usuário autenticado. No entanto, não tenho absolutamente nenhuma ideia de como examinar os logs do Exchange para ver em qual usuário eles foram autenticados ou até mesmo como eles conseguiram transmitir a mensagem pelo Exchange.

Alguém pode lançar alguma luz sobre isso?