Como determinar quais scripts estão enviando mensagens via Servidor Virtual SMTP Padrão

Question

Como determinar quais scripts estão enviando mensagens via Servidor Virtual SMTP Padrão

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

1

Eu gerencio um pequeno servidor que hospeda sites para cerca de 100 clientes únicos. Eu tive problemas com o meu servidor de e-mail legítimo aparecendo em listas negras de DNS, então eu preciso descobrir se um dos meus muitos clientes tem um script ruim em algum lugar enviando lixo através do meu servidor virtual SMTP no IIS6.

Eu tenho o envio de e-mail corretamente, tenho o conjunto de retransmissão para permitir apenas 127.0.0.1, então eu sei que alguém em algum lugar nesta caixa está permitindo o correio ruim através do serviço. Eu habilitei todos os registros no serviço SMTP, mas isso não me dá nenhuma pista sobre qual script (mais provavelmente um aplicativo clássico ASP VBScript) é o culpado.

smtp iis-6

por Dan Short 28.09.2011 / 21:15

3 respostas

Tags smtp iis-6

Crontab - agendando meus backups Ordem de Implantação da Impressora GPO em cinza

score 3 · Answer 1

Com o IIS6 e o servidor SMTP embutido, acho que você estará sem sorte. O servidor SMTP incorporado é bastante limitado em sua funcionalidade. Além de escrever algum tipo de plugin (o que você pode fazer) ou comprar um plugin que possa implementar a varredura e o registro dos envelopes de mensagem SMTP, você não obterá muito mais informações do que você tem agora.

Como mencionado por jdw em seu comentário; Eu usei o exim no passado para esse propósito específico, e acho o MTA baseado em Linux muito mais flexível e poderoso para esse tipo de coisa. Mas isso não ajuda se tudo que você tem é uma caixa do IIS.

score 2 · Answer 2

Como o ASP clássico é texto simples, você poderia fazer uma pesquisa de texto no servidor para comandos ASP comuns para enviar e-mails, como

CreateObject("CDO.Message")

De lá, você poderá ver como o script está configurando o endereço 'de'. Eu diria que qualquer script que tenha um valor dinâmico de FROM ou, alternativamente, se você já conheceu o lixo eletrônico consistentemente do mesmo endereço de e-mail, pesquise por esse endereço de e-mail.

De futuro, recomendamos vivamente a utilização do SMTP autenticado.

score 1 · Answer 3

Isto é estritamente teórico, mas li um artigo sobre uma situação semelhante há algum tempo atrás. Você deve ser capaz de usar um produto do tipo Wireshark configurado no endereço de loopback para obter uma captura de pacote contendo todas as referências ao seu conector SMTP padrão. Pode valer a pena procurar dentro.

link