Назад | Перейти на главную страницу

Устранение черного списка электронной почты путем переключения IP-адресов и серверов

Мы легальная компания. В прошлом у нас были проблемы с тем, что вирусные атаки / спам-боты помещали наш почтовый сервер в черный список.

После самой последней атаки мне было поручено разработать решение, которое позволило бы нам, как только определено, что мы заблокированы, переключиться на чистый сервер и IP.

Вот как мое начальство ожидает, что это сработает ... (я чувствую, что с тем, как электронная почта настраивается и контролируется черными списками, это может работать не так, как они ожидают ... хотя черные списки действительно работают на IP, а не на доменном имени .. ..)

Определите, какой компьютер или сервер обмена заражены. Перейдите на чистый сервер обмена или удалите зараженный компьютер из сети. Переключите компанию на работающий и свободный от вирусов сервер обмена. (вторичный находится в режиме ожидания) Переключите сервер обмена на вторичный IP-адрес, чтобы избежать попадания в черный список.

Идея состоит в том, чтобы перейти на чистый, свободный от вирусов сервер и разблокированный IP-адрес.

Вопросы:

  1. Это возможно?

  2. Нас снова заблокируют? (допустим, мы не рассылаем спам на вторичный сервер и IP)

  3. Как я могу выполнить перемещение пользователей с одной биржи на другую. Перемещение почтовых ящиков занимает ДОЛГОЕ время. Оба сервера обмена находятся на месте (физически рядом друг с другом)

  4. С такой высокой репутацией в электронной почте. Разумно ли ожидать, что электронная почта, отправленная со вторичного IP-адреса, попадет в почтовый ящик пользователей?

Они ожидают, что это займет менее 30 минут, чтобы переключиться с (в худшем случае) зараженного сервера обмена с заблокированным IP на чистый сервер обмена с чистым IP.

Сервер 2003 R2 Exchange 2003 SP2 Active Directory

Помощь / совет / или альтернативы ВСЕ приветствуются! Всем спасибо, Кампо

РЕДАКТИРОВАТЬ: на каждой машине есть AVG

Сервер Exchange не является открытым ретранслятором и требует аутентификации.

Я сделал каждый шаг и все меры предосторожности, но мы все еще были инфицированы.

РЕДАКТИРОВАТЬ: РАЗБЛОКИРОВАНО

новое название вируса (GRUM)

Этого нет на нашем сервере обмена. Нет уж, отсканировано так много всего. Прошился в реестре сам. НИЧЕГО! Просканировал все остальные серверы НИЧЕГО не просканировал пользовательские компьютеры НИЧЕГО WTF?

Странно то, что электронная почта все еще проходит, но мы находимся в CBL ....

SMTP перенесен на нестандартный порт. Явно заблокирован порт 25 на брандмауэре. исключили нас.

ОБНОВИТЬ:

Я добавил дополнительные IP. Теперь, как мне подключить пользователей на одном IP к серверу на другом IP? У меня только на сервере Exchange 2 IP-адреса (по одному на каждую внутреннюю сеть) или их больше?

ОБНОВЛЕНИЕ 2

Это ответ на комментарий @Madboys под его ответом:

Я еще этого не делал. вот установка. У НАС теперь 5 IP. Я пока буду использовать 2. 1 для офисной сети. 1 для обмена. Наш модем содержит оба IP-адреса, отправленные на один порт на задней панели машины. Этот кабель LAN входит в коммутатор, который затем разделяется на 2. Каждый идет в наш модем (двойной Wan RV042). Я назначаю коммутатор одной подсети. Сеть к другому. Пожалуйста, подтвердите этот план. В идеале лучше всего использовать PIX или подобное устройство с микропрограммным обеспечением. Но опять же нужно потратить 0 долларов. Вопрос в том, как пользователи одной подсети будут общаться с другой? Должен ли я настроить это по-другому? Полностью отдельные сети?

ОБНОВЛЕНИЕ 3

**** Хорошо, я смог это сделать. Модем для переключения, то у меня 3 кабеля из коммутатора. 1 Переходит к WRT54G для беспроводной связи и для отделения внешних консультантов в их собственной сети (у них нет причин быть в нашей). Два других кабеля идут к моему RV042, который поддерживает Dual WAN. Я настраиваю вторую подсеть. Как теперь изолировать каждую глобальную сеть от отдельной подсети? Я считаю, что цель Daul WAN на этом устройстве состоит в том, чтобы поддерживать время безотказной работы за счет использования отдельных интернет-провайдеров ... Пожалуйста, помогите. МЫ ТАК ЗАКРЫТЫ, пожалуйста, посоветуйте ТАКЖЕ: я не вижу ЛЮБЫХ исходящих соединений на ПОРТ 25, кроме как с сервера обмена. Так что это хорошо. А от обмена трафик порта 25 имеет нормальную скорость, отражающую наш объем. ****

ОБНОВЛЕНИЕ 4

Я изучил Open WRT и другие решения. Я наткнулся на PF Sense выглядит идеально !. Мысли? У меня есть старый P4, которым я могу пользоваться. Тогда просто понадобится несколько совместимых сетевых карт :).

Решено:

Измененная схема сети.

RV042 поддерживает 1: 1 Nat

Изолированный Wi-Fi на 1: 1 Nat с использованием WRT54G

Использование 2 сетевых адаптеров на сервере Exchange

1: 1 IP-адрес, сопоставленный с SMTP, OWA и т. Д. Другое для сетевого трафика.

Спасибо всем за помощь и помощь в решении этой проблемы.

У меня есть сервер Exchange 2003, и я попал в черный список только один раз. Вы, должно быть, делаете что-то не так, чтобы попасть в черный список. Я исправил это, выполнив следующие действия:

  1. Использование mxtoolbox для проверки текущих настроек моего сервера, чтобы увидеть, не заблокирован ли IP-адрес и правильно ли настроен Exchange (запрещает любые открытые ворота). Создайте запись SPF в DNS.
  2. Поместите входящие / исходящие соединения обмена, идущие на IP, который используется только Exchange и ничем другим.
  3. Поместите пользователей на другой внешний IP-адрес (nat) и заблокируйте порт 25 на брандмауэре, чтобы пользователи не могли отправлять электронные письма на 25-й порт. Они всегда могут использовать 587 и другие порты SSL для отправки писем на свои серверы.

Эти 3 правила должны прояснить, чтобы вы могли работать без проблем со спамом. Вы даже можете пройти и удалить свои IP-адреса, уже внесенные в черный список. MxToolBox очень поможет вам в этом.

Просто чтобы добавить, может быть, вам нужна помощь. Нанять консультанта или что-то в этом роде. Я могу помочь, если вам нужна помощь.

Чтобы ответить на некоторые из ваших вопросов:

  1. Вам не нужно перемещать пользователей на новую биржу или даже настраивать дополнительную биржу. Вы можете просто изменить его IP или маршрут на другой IP-адрес.
  2. В некоторых черных списках перечислены диапазоны, особенно динамические диапазоны или диапазоны с высоким коэффициентом спама. Некоторые диапазоны запрещены как динамические, даже если они таковыми не являются, или запрещены, потому что у вас есть спамерский район. Но не волнуйтесь. Обычно вы можете просто зайти в этот спамлист и удалить свой IP-адрес из списка или даже добавить его в белый список. Но это нужно делать только и только в том случае, если вы знаете, что больше не рассылаете спам. Если вы сделаете это раньше, вы снова попадете в черный список, и если сделать это больше раз, будет сложнее удалить (или даже невозможно).

Итак, мой совет - очистите свою среду (вы можете проверить, отправляете ли вы спам в списки спама, поскольку они обычно дают вам возможность проверять последний спам, полученный с вашего IP-адреса - используйте это как часть вашего расследования), заблокируйте 25 порт, Поместите обмен на другой IP-адрес, чем на другие серверы, пользователи и ежедневно проверяйте, все ли у вас в порядке. Вы даже можете настроить мониторинг на MXToolBox, чтобы отправлять вам электронное письмо, если начинается рассылка спама.

Вам будет гораздо лучше защитить свой сервер Exchange, а затем попытаться выяснить, как перенести обмен на лету.

Установите антивирусное программное обеспечение на свой сервер обмена. Защитите свои серверы переднего плана (те, на которых работает SMTP и на которые компьютеры в Интернете отправляют электронную почту), чтобы люди не могли отправлять электронную почту через сервер из-за пределов вашей сети. Установите антивирусное программное обеспечение на все свои серверы и рабочие станции.

Как только все это будет сделано, вы должны быть защищены от спамеров, отправляющих электронную почту через ваши серверы, и вам не следует попадать в черный список.

Я думаю, вы кладете слишком много яиц не в ту корзину. Прежде всего: ЗАЩИЩАЙТЕ СВОЮ СЕТЬ!

Проведите какое-нибудь сканирование на вирусы на вашем шлюзе. IPS в том же месте также было бы отличной идеей.

Установите хорошее антивирусное программное обеспечение на все свои компьютеры. Я знаю, что мы ненавидим это (я тоже ненавижу), но это неизбежное зло. Все, что выходит за пределы вашей первой линии защиты, должно быть поймано AV.

Заблокируйте исходящие подключения к порту 25 со всех компьютеров, кроме серверов Exchange. Есть причина, по которой интернет-провайдеры часто так поступают. Это потому, что он останавливает спам-зомби. Ничего не может сделать, если не может подключиться к порту 25.

Изучите службы исходящей электронной почты. Я пользователь Postini себя. По цене это того стоит. Есть и другие. Я думаю, что это делают Trend Micro, AppRiver и Exchange Defender ... возможно, многие другие ...

Что касается вашего решения, определенно возможно. Большинство списков блокировки блокируют отдельные IP-адреса. Так что, если один блокируется, вы можете переключиться на другой. Однако я предполагаю, что есть более умные списки блокировок. Я уверен, что кто-то блокирует IP-адреса блоками. Так что я бы не стал полагаться на это как на реальное решение.

Что касается перемещения людей, вы всегда можете маршрутизировать электронную почту через другой сервер Exchange, не перемещая почтовые ящики. Ничего не сказать, что только потому, что почтовый ящик пользователя находится на одном сервере, вся его почта должна выходить в Интернет с того же сервера ... просто настройте его в Exchange, чтобы все проходили через чистый сервер.

Чтобы добавить к @mrdenny выше, также запретите рабочим станциям отправлять электронную почту за пределы сети компании. Рабочие станции должны иметь возможность отправлять электронную почту только через сервер обмена, который отправит электронное письмо получателю. Остановите анонимную ретрансляцию на своем сервере обмена, разрешите только безопасные соединения и закройте порт 25. Если можете, создайте записи SPF для своего домена (http://www.openspf.org/). Само собой разумеется, что антивирусное программное обеспечение установлено на ваших рабочих станциях и сервере обмена.

Да, вы можете перейти на другой IP и другой сервер. Однако, если вы не отследите источник этого и не предотвратите его повторение в будущем, это почти наверняка повторится снова (и снова :-). Борцы со спамом не бестолковые, ожидайте, что это сработает только некоторое время, прежде чем они внедряют больший блок и начнут связываться с вашими вышестоящими провайдерами.

Так что вы жестяная банка сделайте это, но это не должно быть вашей основной реакцией на попадание в черный список.

1. возможно ли это?

Да.

2. Нас снова заблокируют? (допустим, мы не рассылаем спам на вторичный сервер и IP)

Likeky вся ваша сеть и все назначенные вам сети будут заблокированы одновременно.

3.Как я могу выполнить перемещение пользователей с одной биржи на другую. Перемещение почтовых ящиков занимает ДОЛГОЕ время. Оба сервера обмена находятся на месте (физически рядом друг с другом)

  • Обновитесь до Exchagne 2007 или выше
  • Проблема исчезнет.

В основном 2007+ позволяют иметь разные роли для сервера. Просто не имейте почтовых ящиков на вашем внешнем сервере, используйте его исключительно для обмена электронной почтой. Но тогда, с 2010 годом и не такой глупой конфигурацией, у вас никогда не будет проблем.

4. С такой высокой репутацией по электронной почте. Разумно ли ожидать, что электронная почта, отправленная с вторичного IP-адреса, попадет в почтовый ящик пользователей?

Да.

Тем не менее, за 15 лет у меня не было проблем со спамом с любого из моих серверов. Итак, ваша проблема не в компьютере, ваша проблема в том, что администратор не может защитить что-то столь же простое, как выделенный отправитель SMTP.