На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Новости Microsoft Exchange Server
Статьи
Программное обеспечение
Форум
Опросы
Полезные ссылки

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2765758
30451
Hosts 1649901
1008
Visitors 230300
1267

14
Мониторинг активности принтеров

Главная / Форумы / Общие вопросы по Exchange 2003


SurfCop

Форум «Общие вопросы по Exchange 2003»

Версия для печати Версия для печати

Список форумов
Список тем
Поиск по форумам
Помощь
Войти
Регистрация


Тема: «Как на серваке вычислить локального спамера?, Сервер 2003 SP1» в форуме: Общие вопросы по Exchange 2003   Просмотров: 2193
 
Сергей Рудаковский
Заглянувший
 
Всего сообщений: 21
Дата регистрации: 29.08.2006
Создано: 18.10.2007 09:02:52
 
 
Сервер 2003 SP1, сверху Symantec антивирус и антиспам ,обслуживает только локальную сеть.

Все работало хорошо, спама почти не было, но сейчас спам стал расти, причем в 90% спамерских сообщений адрес отправителя с потолка, в адресе получателя стоит пользователь этого сервера, но письмо приходит совершенно другому пользователю этого сервера.

Была бы проблема антиспама симантека, они бы ее уже устранили, поэтому думаю, что на компе в локальной сетке сидит вирус и через сервак гонит спам внутренним пользователям.

Включил лог на почтовике, взял анализатор MailDetective 2.2, но пока там ничего интересного не увидел.

Подскажите, как найти комп с которого гонится спам?
Или проблема в чем-то другом?
 
Профиль
E-Mail
Наверх
Дмитрий (Dakl)
Заслуженный посетитель
 
Всего сообщений: 2856
Дата регистрации: 20.09.2006
Создано: 18.10.2007 10:10:49
 
 
Сергей Рудаковский пишет:
адресе получателя стоит пользователь этого сервера, но письмо приходит совершенно другому пользователю этого сервера.

У вас в Recipient Filtering стоит проверка наличия пользователя в AD?

C уважением Д.К.
 
Профиль
E-Mail
Наверх
Сергей Рудаковский
Заглянувший
 
Всего сообщений: 21
Дата регистрации: 29.08.2006
Создано: 19.10.2007 01:44:27
 
 
Дмитрий (Dakl) пишет:
У вас в Recipient Filtering стоит проверка наличия пользователя в AD?


Global Setting - Message Delivery - Recipient Filtering -
Список пустой, только галочка внизу

Качаю SP2, поставлю, посмотрю, что будет.
 
Профиль
E-Mail
Наверх
Дмитрий (Dakl)
Заслуженный посетитель
 
Всего сообщений: 2856
Дата регистрации: 20.09.2006
Создано: 22.10.2007 03:13:25
 
 
Сергей Рудаковский пишет:
Список пустой, только галочка внизу

Это еще ничего не значит. Включается он в свойствыах Virtual SMTP-edit

C уважением Д.К.
 
Профиль
E-Mail
Наверх
Сергей Рудаковский
Заглянувший
 
Всего сообщений: 21
Дата регистрации: 29.08.2006
Создано: 22.10.2007 04:35:17
 
 
Дмитрий (Dakl) пишет:
Включается он в свойствыах Virtual SMTP-edit


Можно подробнее где это смотреть?

В свойствах SMTP Virtual Server 4 закладки, на закладке Access кнопка Authentication, там включено все: анонимный доступ, базовая авторицация и встроенная авторизация винды.
Если оставить только авторизацию винды, то на почтовых клиентах придется включить пароль на отправку почты.

На кнопке Relay список адресов, с которых разрешена пересылка почты.

Все остальное по умолчанию.

 
Профиль
E-Mail
Наверх
Дмитрий (Dakl)
Заслуженный посетитель
 
Всего сообщений: 2856
Дата регистрации: 20.09.2006
Создано: 22.10.2007 06:38:43
 
 
Сергей Рудаковский пишет:
Можно подробнее где это смотреть?

Virtual SMTP-Advansed(справа от IP address)-Edit

Сергей Рудаковский пишет:
Если оставить только авторизацию винды, то на почтовых клиентах придется включить пароль на отправку почты.

Неправда ваша...если вы по MAPI ходите...

C уважением Д.К.
 
Профиль
E-Mail
Наверх
Сергей Рудаковский
Заглянувший
 
Всего сообщений: 21
Дата регистрации: 29.08.2006
Создано: 23.10.2007 01:18:07
 
 
Дмитрий (Dakl) пишет:
Virtual SMTP-Advansed(справа от IP address)-Edit


Нашел, там стоит галочка на Apply Recipient Filter, остальные фильтры отключены, но они фильтруют отправителей.

И еще, посмотрел логи руками и нашел десятка три подозрительных IP-адресов в колонке client-ip и client-hostname, примерно такого вида:

76.87.194.199 cpe-76-87-194-199.socal.res.rr.com

87.6.57.245 host245-57-dynamic.6-87-r.retail.telecomitalia.it

142.165.119.44 melksk01d01010144.dial.sasknet.sk.ca

222.214.154.185 185.154.214.222.broad.nj.sc.dynamic.163data.com.cn

Но что-то никак в Exchange 2003 не найду куда вписать эти адреса, чтобы сервак с них ничего не принимал?

Что значит если в логе в поле client-ip и client-hostname стоит прочерк?

И вот еще что подозрительно, раньше антиспам фильтровал по 4-5 тысяч сообщений в день, сейчас по 7500 сообщений в день! Откуда такое увеличение активности, кто-то из пользователей основательно засветился?
 
Профиль
E-Mail
Наверх
Сергей Рудаковский
Заглянувший
 
Всего сообщений: 21
Дата регистрации: 29.08.2006
Создано: 30.10.2007 04:57:31
 
 
В чем причина того, что письмо в адресе получателя которого стоит [email protected] приходит в ящик [email protected] , [email protected] и т.д., при том, что [email protected] это не группа рассылки, а обычный ящик, правда засвеченный у спамеров.

Как в Exchacge 2003 включить проверку соответствия адреса и ящика в которое попадает письмо?
 
Профиль
E-Mail
Наверх
Дмитрий (Dakl)
Заслуженный посетитель
 
Всего сообщений: 2856
Дата регистрации: 20.09.2006
Создано: 30.10.2007 07:58:31
 
 
Сергей Рудаковский пишет:
Как в Exchacge 2003 включить проверку соответствия адреса и ящика в которое попадает письмо?

Это в rdcipient Filtering(внизу чебокс проверять на наличие в домене)
Параметр в AD msExchRecipTurfListOptions (сам RF активируется в свойствх SMTP)
Но мне кажется в вашем случае тут немного другое.
Неплохо было бы на само спамерское письмо взглянуть...там есть в скрытытх копиях ваши адреса скорее всего.
Этот RF палка о двух концах...
С ним конечно неплохо таппитинг использовать.

C уважением Д.К.
 
Профиль
E-Mail
Наверх





Список форумов
Список тем
Поиск по форумам
Помощь
Войти
Регистрация




Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010