Наш брандмауэр вышел из строя около 3 недель назад, и во время его замены мы были помещены в черный список спама cbl.abuseat.org. После того, как мы установили и настроили новый брандмауэр, мы смогли остаться вне списка. Сейчас, примерно через 2 недели, мы снова в списке. Вот наша информация о конфигурации и то, что мы пробовали.
Win2K3 - Exchange 2003, проходящий через брандмауэр. Брандмауэр был настроен на запрет всего исходящего SMTP-трафика, за исключением SMTP-трафика (изначально не ограниченного портом 25) с нашего сервера обмена. Наши 110 клиентских компьютеров XP работают под управлением McAfee и настроены так, чтобы не разрешать отправку трафика smtp (я видел эту работу, поэтому вполне уверен, что она работает). Этого было достаточно до вчерашнего дня, когда мы снова попали в черный список.
Работая с нашим поставщиком брандмауэра, мы теперь разрешаем SMTP-трафик только через порт 25 с сервера обмена. Весь остальной SMTP-трафик заблокирован для выхода из нашей сети. Похоже, что почта отправлялась на странные порты, такие как .23111, с нашего сервера обмена, это правильно (см. Первый набор информации журнала)? Но по последним журналам я не уверен, было ли это исправлено. Кроме того, могут ли спам-боты отправлять спам через сервер обмена на 25-м порту? Если да, можно ли его остановить, не обнаружив спам-бота? Ищем спам-бота, но пока безуспешно.
Спасибо за любую помощь.
Я запустил tcpdump и получил следующую информацию, прежде чем мы внесли последние изменения в брандмауэр:
16:54.8 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 263, win 65273, length 0
16:55.7 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4221, win 14600, length 12
16:55.7 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [P.], ack 275, win 65261, length 6
16:56.0 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4221, win 14600, length 12
16:56.0 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 275, win 65261, length 0
16:56.1 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4227, win 14600, length 21
16:56.1 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [F.], seq 296, ack 4227, win 14600, length 0
16:56.1 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 297, win 65240, length 0
16:56.1 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [F.], seq 4227, ack 297, win 65240, length 0
16:56.6 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [.], ack 4228, win 14600, length 0
16:57.7 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [S], seq 3560091943, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:58.0 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [S.], seq 3962637029, ack 3560091944, win 5840, options [mss 1380,nop,nop,sackOK], length 0
16:58.0 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [.], ack 1, win 65535, length 0
16:58.1 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [P.], ack 1, win 5840, length 20
16:58.1 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [P.], ack 21, win 65515, length 33
16:58.2 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [.], ack 34, win 5840, length 0
16:58.2 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [P.], ack 34, win 5840, length 20
Вот что у меня получилось после смены брандмауэра:
01:52.6 IP our-exchange.our-domain.com.17177 > our-domaincontroller.our-domain.com.53: 12044+ A? mail.painclinic-nw.com. (40)
01:52.6 IP our-exchange.our-domain.com.15727 > our-domaincontroller.our-domain.com.53: 12285+ A? mail.snyders-han.com. (38)
01:52.7 IP 99-53-214-98.lightspeed.genvil.sbcglobal.net.1770 > our-exchange.our-domain.com.443: Flags [.], ack 570, win 16380, length 0
01:52.9 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 49
01:52.9 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 197
01:52.9 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58065: Flags [.], ack 1503, win 64573, length 0
01:52.9 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58068: Flags [P.], ack 1, win 64649, length 149
01:52.9 IP ggadke.our-domain.com.1203 > our-exchange.our-domain.com.1025: Flags [.], ack 1, win 65016, length 1
01:52.9 IP our-exchange.our-domain.com.1025 > ggadke.our-domain.com.1203: Flags [.], ack 1, win 65269, length 0
01:52.9 IP dwhite.our-domain.com.1215 > our-exchange.our-domain.com.1025: Flags [.], ack 1631, win 65535, length 1
01:52.9 IP our-exchange.our-domain.com.1025 > dwhite.our-domain.com.1215: Flags [.], ack 2574, win 64590, length 0
01:52.9 IP vbejin.our-domain.com.1282 > our-exchange.our-domain.com.1025: Flags [.], ack 1, win 64548, length 1
01:52.9 IP our-exchange.our-domain.com.1025 > vbejin.our-domain.com.1282: Flags [.], ack 1, win 64769, length 0
01:53.0 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 49
01:53.0 IP our-storagedevice.our-domain.com.123 > our-exchange.our-domain.com.123: NTPv3, symmetric active, length 68
01:53.0 IP our-exchange.our-domain.com.21059 > our-domaincontroller.our-domain.com.53: 34757+ PTR? 9.1.168.192.in-addr.arpa. (42)
01:53.0 IP our-domaincontroller.our-domain.com.53 > our-exchange.our-domain.com.21059: 34757* 1/0/0 PTR[|domain]
01:53.0 AR P, Request who-has our-storagedevice.our-domain.com tell our-exchange.our-domain.com, length 28
01:53.0 IP our-exchange.our-domain.com.123 > our-storagedevice.our-domain.com.123: NTPv3, Server, length 68
01:53.1 AR P, Reply our-storagedevice.our-domain.com is-at 00:15:17:22:b2:44 (oui Unknown), length 92
01:53.1 IP 99-53-214-98.lightspeed.genvil.sbcglobal.net.1775 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 41
01:53.1 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58065: F
Вот часть журнала smtp с сервера обмена:
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 220 + Postini + ESMTP + 225 + y6_29_1c0 + готов. ++ CA + Business + и + Профессии + Код + Раздел + 17538.45 + запрещает + использование + этой + системы + для + нежелательной + электронной + почты + рекламы. 0 0 164 0 78 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 EHLO - our-exchange.Northwoods.com 0 0 4 0 78 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 250-Postini + сообщает + привет + ответ 0 0 27 0 172 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 наш обмен - 25 ПОЧТА - ОТ: 0 0 4 0 172 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 250 + Ok 0 0 6 0250 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 наш обмен - 25 RCPT - TO: 0 0 4 0250 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 250 + Ok 0 0 6 0782 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 наш-обмен - 25 ДАННЫХ - - 0 0 4 0782 SMTP - - - -
02.07.2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 354 + Feed + me 0 0 11 0860 SMTP - - - -
02.07.2010 17:36:17 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 250 + Спасибо 0 0 10 0 1657 SMTP - - - -
02.07.2010 17:36:17 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 ВЫЙТИ - - 0 0 4 0 1672 SMTP - - - -
02.07.2010 17:36:17 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 221 + Catch + you + later 0 0 19 0 1735 SMTP - - - -
02.07.2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 шлюз нашей биржи IP 0 EHLO - #NAME? 250 0320 27 0 SMTP - - - -
02.07.2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 IP-адрес шлюза нашей биржи 0 ПОЧТА - + ОТ: 250 0108 95 0 SMTP - - - -
02.07.2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 IP шлюза нашей биржи 0 RCPT - + TO: 250 0 41 38 0 SMTP - - - -
02.07.2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 IP-адрес шлюза нашей биржи 0 ДАННЫЕ - + <5db32eec-3b06-4e97-8b34-6c147ac35b0a@xtinmta11.xt.local> 250 0141 22978 281 SMTP - - - -
02.07.2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 IP-адрес шлюза нашей биржи 0 ВЫЙТИ - p01c11m094.mxlogic.net 240 515 75 4 0 SMTP - - - -
Хммм ... с чего начать.
Ваш сервер Exchange не устанавливает исходящие SMTP-подключения к другим почтовым серверам ОТ порта 25, он делает эти исходящие подключения К порту 25. Таким образом работают все узлы TCP \ IP независимо от рассматриваемой службы (по большей части, но для этого аргумента считают, что это так). Exchange использует локальный порт из временного диапазона портов в качестве исходящего порта и подключается к другому почтовому серверу на порту 25 этого сервера. Это работает в обратном порядке, когда другие почтовые серверы подключаются к вашему серверу Exchange для отправки вам электронной почты, а другой сервер подключается. с одного из временных портов на 25-й порт вашего сервера Exchange.
Как вы думаете, почему брандмауэр имеет отношение к этой проблеме? Когда брандмауэр вышел из строя, не было ли у вас нового брандмауэра? Что защищало вашу сеть, пока вы ждали нового брандмауэра?
Если какие-либо из ваших рабочих станций заражены вредоносным ПО, они рискуют рассылать спам через сервер Exchange через MAPI или SMTP (в зависимости от того, как настроены рабочие станции и сервер Exchange) или от себя.
Простое наличие брандмауэра перед вашим сервером Exchange не имеет ничего общего с тем, будет ли ваша исходящая почта помечена как спам или будет ли исходящий IP-адрес ваших серверов Exchange занесен в черный список. Внешние почтовые серверы не могут определить, находится ли ваш сервер Exchange за брандмауэром. Брандмауэр может снизить вероятность попадания в черный список, ограничивая исходящий SMTP-трафик только трафиком с сервера Exchange, который предположительно не используется в качестве ретранслятора.
Ваш первый tcpdump показывает информацию о сеансе TCP для того, что предположительно является сеансом связи SMTP, но не дает вам никакой информации об этом сеансе SMTP и, следовательно, почти бесполезен при устранении неполадок.
Ваш второй tcpdump не показывает никаких SMTP-соединений, которые я мог бы найти, и поэтому бесполезен при устранении вашей проблемы.
Все, что было сказано, вот пара указателей:
Убедитесь, что исходящее приветствие вашего сервера Exchange соответствует полному доменному имени вашей общедоступной записи MX.
Обязательно настройте запись PTR в общедоступном DNS для полного доменного имени сервера Exchange.
Обязательно настройте запись SPF в общедоступном DNS.
Ограничьте все исходящие сообщения портом 25 для всех внутренних узлов, кроме вашего сервера Exchange.
Ни один из них не гарантирует, что вы не попадете в черные списки, но они полезны в этом отношении.
В заключение, включите ведение журнала SMTP на сервере Exchange, чтобы у вас была запись в журнале обо всех входящих и исходящих сеансах SMTP. Это бесценно при устранении неполадок SMTP.
Здесь не так много подробностей, но CBL перечислит вас только потому, что у вас есть инфраструктура, которая используется отправителями спама. Это может означать, что вы рассылаете спам, но это также может означать, что у вас есть открытый прокси (HTTP, Socks или другой) или у вас может быть уязвимая HTML-форма на веб-сайте, который вы размещаете. CBL должна дать некоторое представление о том, почему вы были включены в список.
Если ваши машины рассылают спам, то вам, вероятно, следует иметь в вашем брандмауэре политику запрета всего по умолчанию, внимательно следить за разрешенным и запрещенным трафиком и открывать порты только тогда, когда вы уверены, что на этих машинах ничего не делается. Вы также должны посмотреть, какие порты у вас открыты извне, чтобы убедиться, что никто не использует какие-либо прокси, и вы должны убедиться, что все веб-сайты, которые вы размещаете, безопасны.
Вы упомянули, что используете McAffee на всех своих машинах. Обновляются ли определения вирусов? Если у вас есть предложения относительно того, какие машины ведут себя плохо, вы можете запустить на них антивирус другого производителя, чтобы узнать, не пропустил ли McAffee что-нибудь.
Вероятно, вы также захотите убедиться, что вы не являетесь открытым ретранслятором SMTP, хотя обычно этого недостаточно для включения вас в список CBL.
Это заняло несколько дней, но мы считаем, что наконец-то решили проблему. Оказывается, когда наш брандмауэр был заменен, новая конфигурация отправляла отчеты за пределы нашей сети, а затем обратно, а не только внутри. Это не было бы проблемой, если бы ретранслятор электронной почты в брандмауэре был настроен с полным доменным именем, но на самом деле он воспринимался как общий IP-адрес 127.0.0.1, который затем воспринимался как возможный спам. Таким образом, несколько дней устранения неполадок стали результатом всего одного неверно настроенного электронного письма, отправляемого в полночь каждую ночь.