Что-то рассылает спам с моего сервера hMail - как мне с этим справиться?
Я только что обнаружил, что мой сервер Windows 2008 пытается рассылать много спама, и я не уверен, как узнать, где находится компромисс. Например: кто-то взломал аккаунт? Кто-то взломал сервер? На сервере есть вирус?
Что я могу сделать, чтобы это выяснить?
редактировать
Спасибо за ответы. Я использую сервер hMail, и я провел так много времени, исследуя правильную конфигурацию, но все равно получаю эти электронные письма.
Вот скриншот моего Internet Настройки диапазона IP на сервере:
(дайте мне знать, чем еще я могу помочь)
Включите любое ведение журнала, которое вы можете включить. Затем используйте простой статистический анализ журналов (например, если у вас есть Linux / unix box и вы знаете основы sed / perl / awk, извлеките все исходные IP-адреса, отправляющие почту, и | sort | uniq -c, затем обработайте этот список с помощью geoip -поиск ... как бы политически некорректно это ни звучало, IP-адреса, вызывающие массовый трафик из мест, которые полностью противоречат геологической структуре экосистемы вашей компании, обычно ЭТО то, что вам нужно для дальнейшего исследования.
Если сервер на самом деле является почтовым сервером, на котором работает Exchange или какой-либо другой почтовый продукт, вам действительно нужно посмотреть, каковы лучшие практики ограничения ретрансляции почты. Если это почтовый сервер, я бы порекомендовал изучить, как ограничить количество получателей в одном сообщении. Я установил его на уровне 5 при устранении неполадок. Обычно это позволяет устранить проблему и не раздражать законных конечных пользователей. Если это не почтовый сервер, просто подключитесь к маршрутизатору и заблокируйте исходящий порт 25 с зараженного сервера, а затем начните выяснять, является ли это взломом или вирусом.
Если вы можете дать нам более подробную информацию о сервере, мы, вероятно, сможем немного адаптировать ответы.
то, что случилось с вашим сервером, не обязательно зависит от вируса на нем. Вероятно, вам нужно только настроить свой SMTP-сервер, чтобы он не принимал входящий запрос на отправку электронной почты. Таким образом, вы можете использовать его только локально. Если вы используете SMTP-сервер IIS по умолчанию, перейдите в панель управления и выберите инструменты администратора. Найдите диспетчер информационных служб Интернета и выберите сервер smtp. Щелкните «Свойства» и на вкладке «Доступ» щелкните «Управление подключением». Здесь вы должны добавить свой IP-адрес и выбрать «Только список ниже», чтобы предоставить свои IP-адреса. Сделайте то же самое, щелкнув Ограничения реле на той же вкладке доступа.
Я использую win 2003 server, но, думаю, будет точно так же.
Надеюсь, это поможет ...