У меня есть клиент, на котором работает SBS 2003 Std. и у них есть какая-то массовая рассылка, которая рассылает спам. Мы используем самые последние определения. антивируса Vipre мы не настраиваем как ретранслятор, мы изменили пароль администратора, и включена фильтрация получателей. Все электронные письма отправлены с postmaster@domain.org. Я знаю, что это пахнет обратной DNS-атакой или сбором каталога, но у нас работает GFI Mail Essentials, и он не показывает тысячи входящих сообщений, а только тысячи исходящих сообщений. Однажды они попали в черный список, и я удалил их, и я следил за очередью почты, чтобы они не попали в черный список снова. Мне очень нужна помощь, я не знаю, что еще можно сделать, чтобы решить эту проблему !?
Мне непонятно, что вы видите.
Я бы включил «Отслеживание сообщений» в Exchange, если он еще не включен (см. http://support.microsoft.com/kb/246856) и убедитесь, что сервер Exchange является или не является источником сообщений.
Я бы установил правило в пограничном брандмауэре, чтобы запрещать исходящие соединения на TCP-порту 25 Кроме с компьютера с сервером Exchange. Это действительно должно быть стандартным правилом брандмауэра в каждой локальной сети - только авторизованные почтовые серверы должны общаться с Интернетом через TCP-порт 25.
Если сообщения действительно поступают из Exchange, то отслеживание сообщений должно дать вам несколько подсказок для отслеживания источника. Я подозреваю, что у вас на одном из компьютеров запущена мошенническая почтовая программа SMTP. Правило брандмауэра должно остановить это и, если ваш брандмауэр может вести журнал, должно показать вам, какой компьютер получает трафик.
Ваш вопрос немного неясен: вы говорите, что «у них есть какая-то массовая рассылка, которая рассылает спам». Я полагаю, вы имеете в виду, что это непреднамеренно. Вся эта почта проходит через сервер (проверьте очереди, это Exchange 2003 Server)? Также неясно, рассылают ли эти 6 клиентских компьютеров спам через сервер Exchange или отправляют их напрямую на порт 25.
Я видел Exchange 2003, полностью исправленный, технически правильно настроенный, все еще имел дыры, позволяющие использовать реле. Более поздние патчи исправят их, но не рассчитывайте на это сейчас. Я определенно планирую перейти на SBS 2011, даже если вы не сделаете это немедленно.
Я с другими парнями: у меня есть правило брандмауэра, которое разрешает ТОЛЬКО исходящий порт 25 почтового сервера, и явное правило запрета для всех остальных. Таким образом, даже если вы получаете вирус, рассылающий спам, на каждом компьютере, они не могут отправлять напрямую, и ваш провайдер и весь мир вас не ненавидят. Все это проще сделать, если у вас есть очень хорошая схема IP, иначе вам, возможно, придется создать несколько правил. Похоже, вы как-то заразились, даже если еще не нашли.
Чтобы объяснить, что сказал gravyface, такая служба, как Google Postini, может очень дешево заменить ваши текущие локальные фильтры. Вся почта входит и проходит через них и проверяется на СПАМ / вирусы. Затем вы можете разрешить порт 25 ТОЛЬКО с серверов Google на вашем брандмауэре, поэтому нет возможности ретранслировать, если Google когда-нибудь каким-то образом не облажается. Это также имеет то преимущество, что если у вас нет вторичной записи MX, как у некоторых небольших компаний, вся почта отправляется на 4 сервера Google, для которых они предоставляют вам записи MX, и даже если ваш сервер не работает, почта стоит в очереди, пока ваш сервер не вернется в режим онлайн.