Я использую Server 2003. Exchange 2007.
У меня есть что-то в системе, рассылающее тонны спама, и теперь оно в основном заблокировано от внешнего мира. (Мы можем получать, но не отправлять, потому что мы в спамлистах.)
Это сервер, с которым у меня нет опыта работы, нет записей об обслуживании или кого-либо, к кому можно обратиться за помощью. Я иду в слепую.
Прежде чем я углублюсь в детали, абсолютный ключ здесь:
Насколько я понимаю, возможными векторами распространения спама являются:
Сам сервер с вирусом.
Зараженный сетевой компьютер.
Внешний компьютер злоупотребляет отчетом о недоставке (обратное рассеяние) или открытым реле.
В сервер вопросы:
Была ужасная политика паролей. Я не буду говорить, что это такое, но почти все учетные записи используют один из наихудших паролей, которые только можно представить, а другие используют один хороший пароль, но многие разделяют его.
Был обнаружен руткит Zero Access байтами Anti-Malware. После этого я также запустил TDSSkiller и больше не обнаруживал экземпляров. Однако возможно, что он все еще находится в альтернативном файловом потоке. Но это отдельная тема.
Многие обновления Windows / обновления безопасности не устанавливаются.
Он работает с RRAS без брандмауэра в DMZ маршрутизатора. Я пока не могу включить его, пока не получу список служб, которые должны работать.
В спам вопросы:
Exchange выбрасывал спам backscatter / NDR, и я исправил это с помощью некоторых правил транспорта. У меня есть «если электронная почта пришла ИЗ-за пределов и ВНУТРИ снаружи, молча отбросьте его». а также «если электронное письмо предназначено для внешнего адреса и в теме указано« Недоставлено: », отбросить без уведомления».
Я пробовал следовать различным руководствам, чтобы «отключить открытый ретранслятор», но многие из них говорят об удалении разрешения «принимать всех получателей» для учетной записи NT AUTHORITY \ Anonymous во всех соединителях. ОДНАКО это приводит к сбою всей входящей почты. Это нормально? Похоже, это должно отключать только использование подстановочных знаков / случайно сгенерированных имен пользователей.
Определенный пользователь был скомпрометирован и рассылал спам. Я отключил его почтовый ящик. Те больше не появляются. (Назовем его Dave@domain.com)
Остается множество случайных пользователей, которых НЕТ в Active Directory. (lol@domain.com, lob@domain.com, loa@domain.com ... сотни в минуту)
Я включил ведение журнала входа в систему. (Dave@domain.com рассылает спам, чтобы войти и терпит неудачу. Есть пара других пользователей, пытающихся войти в систему, но не очевидно, скомпрометированы ли они или просто нормальная активность.)
Итак, что мне нужно сделать:
Узнайте: как правильно убедиться, что вы не являетесь открытым ретранслятором, но при этом разрешаете входящую почту?
Узнайте, могу ли я ограничить отправку электронных писем ТОЛЬКО с действительных адресов пользователей AD (и / или жестко запрограммированных для других настраиваемых служб / программ, которые мы запускаем).
Более того, ограничьте отправку электронной почты только с вашего AD-имени (то есть chris@domain.com не может отправлять с philip@domain.com.)
Узнайте, как отследить, что говорит Exchange отправлять эти электронные письма. Есть ли способ отследить, кто их отправляет?
Например, в очереди сообщений (в которой находится ~ 180 000 сообщений, ожидающих из-за того, что другие люди блокируют нас спамом только за два дня сохраненных сообщений электронной почты) отображается это электронное письмо:
Идентификация: myservername \ 368722 \ 5834167
Тема: Текущая открытая позиция
Идентификатор Интернет-сообщения: <0CDA6CACCF886A682B2C6E3DDAB080C1 @ xizyrafo>
С адреса: hug@domain.com
Статус: Готово
Размер (КБ): 2
Имя источника сообщения: SMTP: Client SERVERNAME
Исходный IP: 204.248.123.228
SCL: 0
Дата получения: 23.01.2016, 14:57:20
Срок действия: 25.01.2016 14:57:20
Последняя ошибка:
Идентификатор очереди: servername \ 368722
Получатели: ruizky31@yahoo.com
Есть ли способ использовать эту информацию, чтобы отследить, откуда она приходит / кто ее отправляет?
Я попытался выяснить, что означает исходный IP-адрес (будь то IP-адрес отправителя или IP-адрес отправителя запроса), но ничто из того, что я прочитал, на самом деле не объясняет.
Не тратьте время на поиски источника. Будет еще одна жертва. У спамера будет сеть скомпрометированных машин, которые они используют. Первое, что вам нужно сделать, это применить политику паролей и заставить всех изменить свои пароли. Убедитесь, что вы также изменили пароль администратора, так как это наиболее часто используемая учетная запись.
Затем на соединителях приема убедитесь, что внешняя защита НЕ включена. Если это так, это делает вас открытым реле. Спам в отчетах о недоставке можно решить, установив фильтры защиты от спама и включив фильтрацию получателей.
После внесения любого из вышеуказанных изменений перезапустите MS Exchange Transport и запустите IISRESET.
Я бы сделал несколько тестов telnet, чтобы убедиться, что машина все еще является открытым реле.
Однако следующее, что вам нужно сделать, - это построить новую машину. Эта машина была взломана, и даже с помощью найденных вами инструментов ей нельзя доверять. Соберите новую машину, используйте носитель Exchange 2007 SP3 для ее установки, а затем исправьте ее. Тот факт, что вы не можете устанавливать обновления на машину, говорит о том, что она сильно сломана. Удалите содержимое со старой машины, затем удалите Exchange и протрите его. Если у вас нет запасной машины, используйте мощную рабочую станцию в качестве удерживающей машины, чтобы вы могли восстановить оригинал.
Многие из черных списков выкинут вас из своих списков, когда спам больше не будет виден. В качестве временной меры вы можете отправлять через SMTP-сервер вашего интернет-провайдера в качестве промежуточного узла. Прежде чем вы начнете использовать это, вам нужно очистить сервер, иначе ваш интернет-провайдер может выкинуть вас из своей службы.