У меня есть Exchange Server 2010, который использует смарт-узел для отправки почты. День назад к нам обратился владелец смарт-хоста и сообщил, что мы рассылаем спам.
Я пробовал другой тест открытого реле в сети, и все они возвращаются, говоря, что этот сервер защищен и не может использоваться в качестве сервера ретрансляции. Но я вижу в моем средстве просмотра очереди Exchange, что он продолжает приходить в новых сообщениях. Вот пример того, как это выглядит.
Identity: mailserver\3874\13128
Subject: Olevererbart:: helladian@xxx.xxx Pfizer -75% now
Internet Message ID: <7388a3e0-7171-408d-ab24-806725beffb1@xxx.xxx>
From Address: <>
Status: Ready
Size (KB): 6
Message Source Name: DSN
Source IP: 255.255.255.255
SCL: -1
Date Received: 2010-12-09 21:46:22
Expiration Time: 2010-12-11 21:46:22
Last Error:
Queue ID: mailserver\3874
Recipients: urinee6024@proxad.net
Как я могу защитить наш сервер обмена, чтобы этого не происходило?
Мог ли я получить вирус, который подключается к нашему серверу обмена и отправляет почту, чтобы отправить его?
Как я вижу, адрес отправителя всегда <>, могу ли я как-нибудь прекратить отправку писем, у которых нет адреса отправителя, который я описываю?
Просьба помочь
Поскольку вы уже пробовали тесты открытого ретранслятора из Интернета, это означает, что это компьютер во внутренней сети, который отправляет спам. Скорее всего, это скомпрометированная машина с вирусом, поэтому ее также необходимо в срочном порядке устранить.
Мне кажется, что у вас есть коннектор приема, который настроен так, чтобы разрешить открытую ретрансляцию изнутри сети (поэтому внешние тесты его не обнаружили).
Журналы отслеживания сообщений должны сообщать вам, через какой коннектор приема поступают сообщения, поэтому вам нужно будет посмотреть на свойства этого коннектора получения и сделать их более ограничивающими. Используйте команду Get-MessageTrackingLog -MessageId "<<Spam Message ID>>" |ft MessageId, ConnectorId в командной консоли Exchange, чтобы предоставить вам коннектор получения, через который он проходит.
Я предполагаю, что ваш коннектор приема настроен на прием почты со всей вашей внутренней сети (например, с 10.1.1.1 по 10.255.255.255), а не с определенных IP-адресов, которые должны отправлять неаутентифицированную электронную почту.
Стандартная практика - оставить коннектор получения, который был создан при установке Exchange, как есть, и создать новый коннектор получения (например, «Разрешить анонимную ретрансляцию») со следующими параметрами.
редактировать: Сожалею! В самой последней строке я сказал убрать все, кроме Анонимные пользователи - Я действительно имел ввиду снять все, кроме Серверы Exchange. Виноват :'(
Если ваша конфигурация ретрансляции верна и вы не настроены как открытое реле, скорее всего, это одна из следующих вещей:
В любом случае вы хотите проверить свои отчеты о доставке на предмет адреса назначения в этом электронном письме, что должно дать вам и отправляющего пользователя, и исходную систему для сообщения.
Какие клиентские протоколы вы включили, и все ли они настроены на требование аутентификации клиента перед принятием исходящей электронной почты?
Вам также следует заглянуть в Функции Exchange Anti-Spam.
Я пробовал команду в Powershell, но коннектор пуст. Может быть, это потому, что оно на самом деле не отправлено (я нашел идентификатор сообщения в средстве просмотра очереди).
Я мог видеть одно отличие от писем, которые я создаю, и писем со спамом в идентификаторе сообщения, и это то, что в создаваемых мной письмах указывается имя почтового сервера, но в сообщениях со спамом это только имя домена.
например: xxxxxx@mailserver.microsoft.com против xxxxx@microsoft.com
Я думаю, мне нужно настроить сетевой сниффер на моем почтовом сервере и попытаться посмотреть, с какого компьютера в сети отправляются письма ...
Это информация, которую я получил из команды Power Shell:
Identity : MAILSERVER\Default MAILSERVER AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer Bindings : {192.168.0.5:25} Enabled : True PermissionGroups : AnonymousUsers, ExchangeUsers, ExchangeServers RemoteIPRanges : {0.0.0.0-255.255.255.255}
Identity : MAILSERVER\Client MAILSERVER AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS Bindings : {192.168.0.5:587} Enabled : True PermissionGroups : ExchangeUsers RemoteIPRanges : {192.168.0.0/26}
Я закрываю 25 порт в брандмауэре, и рассылка спама прекращается. Так что это должно быть открытое реле. Но странно, что он проходит все испытания, и я понятия не имею, как это остановить.
Если я удалю AnonymousUsers (что похоже на хорошую идею ...) из коннектора по умолчанию, спам прекратится, но тогда я не смогу получать почту. Get «Ошибка, возвращенная другим сервером: 530 530 5.7.1 Клиент не был аутентифицирован (состояние 13)». ошибка, когда кто-то пытается отправить письмо на наш сервер.
Я была такая же проблема. Это произошло из-за того, что компьютер в сети рассылал спам. Трудно найти компьютер, но я смог найти его немного по-другому. Вот способ найти виновного. ЭТО ЗАНИМАЕТСЯ СЕТЬЮ НА МОМЕНТ.
Получить и установить Wireshark на компьютере, который вы не против потерять какое-то время. Получите концентратор (да, одно из тех старых сетевых устройств :)). Важно, чтобы это был концентратор, поскольку он будет перенаправлять весь трафик на все порты. Подключите хаб между сетью и модемом. Подключите компьютер к Wireshark к концентратору. Как ниже
Интернет ----- Hub ---- WireShark Computer AND Switch
Теперь, когда вы открываете Wireshark и начав захват, вы получите ВЕСЬ сетевой трафик. Я настроил фильтры захвата, чтобы игнорировать все порты, кроме 25, и все известные мне IP-адреса в порядке.