В течение последних нескольких дней через определенные промежутки времени на мой сервер Exchange 2003 сбрасывается огромное количество писем и ретранслируется до тех пор, пока они не попадают в черный список.
Ничего подобного не происходило много лет, и я не думаю, что сервер является открытым ретранслятором. Онлайн-тесты в Интернете показывают, что это не так, и конфигурации следующие:
Мне нужен этот сервер для ретрансляции сообщений из внутренней сети вовне, но мне также он нужен для ретрансляции сообщений от внутренних пользователей на устройствах вне сети, и мне также нужны внешние серверы для отправки электронной почты внутренним пользователям, поэтому я не вижу, как я могу еще больше ограничить эти настройки.
Я подозревал, что заражен был либо внутренний компьютер, либо учетная запись пользователя, которая была взломана и используется извне. Я просмотрел журналы, и оказалось, что сообщение идет извне, поэтому я подумал, что последнее было правдой, однако я не могу идентифицировать пользователя, который использовался для аутентификации из журналов, чтобы я мог изменить свои пароли.
Я думал, что включил все соответствующие поля регистрации, и вот что у меня получилось:
2013-06-15 07:10:54 201.211.238.228 User MyServerName 192.168.0.1 EHLO - +User 250 0 304 9 2250 - -
2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 MAIL - +FROM:<publicitysec@bp.com> 250 0 44 31 0 - -
2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 RCPT - +TO:<matolinka@yahoo.com> 250 0 32 29 0 - -
2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 DATA - <MyServerNameQFvW0000000b@mx.mydomain.com> 250 0 122 1452 797 - -
2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 QUIT - User 240 5343 58 4 0 - -
Электронная почта в поле от не является внутренним доменом.
Итак, мой основной вопрос будет заключаться в том, как определить виновника. Второй вопрос: нужно ли мне настраивать ретрансляцию по-другому, чтобы этих проблем не было.