Похоже, что где-то в моей сети есть вирус, который рассылает фишинговые письма через мой сервер обмена. Я могу видеть сообщения в отслеживании сообщений, и я вижу много ошибок SMTP для отчетов о недоставке и отклоненных подключений с внешних серверов, но я не вижу никаких SMTP-аутентификаций, и я веду журнал до MAX. Как я могу узнать IP или имя хоста зараженного компьютера? Или есть другое объяснение, кроме вируса?
Антивирусная проверка на сервере чистая. Сервер не является открытым реле.
Спасибо
Укажите брандмауэру, чтобы он отбрасывал исходящие SMTP-пакеты на все хосты, кроме вашего почтового сервера. Это предотвратит любой прямой SMTP-спам с любых ваших потенциально зараженных рабочих станций.
Вы говорите, что ваш почтовый сервер не является открытым ретранслятором, но разрешаете ли вы ретрансляции из локальной сети? Многие люди делают это, когда настраивают МФУ, сканеры и т. Д. Вы можете протестировать, переключившись на другую рабочую станцию и выполнив:
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: nobody@example.com
rcpt to: somebody@notyourdomain.com
если ты вернешься 250 OK, вы разрешаете ретрансляции, и бот может легко ретранслировать почту с вашего почтового сервера.
Чтобы найти рабочую станцию, которая рассылает спам, возьмите ноутбук и установите WireShark. Поместите свой ноутбук в концентратор (убедитесь, что это концентратор) и подключите интерфейс локальной сети на брандмауэре к порту концентратора №2, а затем подключите другой кабель от порта концентратора №3 к интерфейсу локальной сети.
Осветите снимок с помощью фильтра отображения, например:
tcp.port eq 25 && src.ip != <your.mail.server.ip>
Вы можете стать жертвой атаки Reverse NDR Spam. Некоторые называют это Backscatter .. Проверьте эту статью. Там говорится о SBS 2003, но у Exchange та же проблема. Эта атака сейчас кажется более распространенной.
Посмотрите и на это. Возможно, больше информации. Мы недавно видели именно такое поведение в нашей коробке Ex 2003. NDR спам
Если в ближайшее время у вас ничего не получится, возможно, стоит запустить wirehark с подходящим фильтром для захвата только данных SMTP. Так вы обязательно увидите, какая система задействована, даже если заголовок подделан.
Можете ли вы просмотреть заголовки этих фишинговых писем? Искать Received: from линия. Он скажет вам, с какого компьютера пришло это сообщение.
->> Received: from infected.computer ([192.168.1.X]) <<---
by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
Проверьте, включена ли фильтрация получателей. Если он выключен и Exchange настроен на отправку отчетов о недоставке, сервер, вероятно, будет принимать почту, отправленную несуществующим пользователям, что приведет к заполнению очереди отчетами о недоставке.
Скорее всего, это предотвратит включение фильтрации получателей. Письма, отправленные несуществующим пользователям, просто не будут приняты Exchange.