Сергей Рудаковский
Заглянувший
Всего сообщений: 21
Дата регистрации: 29.08.2006
|
Создано: 18.10.2007 09:02:52
|
Сервер 2003 SP1, сверху Symantec антивирус и антиспам ,обслуживает только локальную сеть.
Все работало хорошо, спама почти не было, но сейчас спам стал расти, причем в 90% спамерских сообщений адрес отправителя с потолка, в адресе получателя стоит пользователь этого сервера, но письмо приходит совершенно другому пользователю этого сервера.
Была бы проблема антиспама симантека, они бы ее уже устранили, поэтому думаю, что на компе в локальной сетке сидит вирус и через сервак гонит спам внутренним пользователям.
Включил лог на почтовике, взял анализатор MailDetective 2.2, но пока там ничего интересного не увидел.
Подскажите, как найти комп с которого гонится спам?
Или проблема в чем-то другом?
|
|
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 18.10.2007 10:10:49
|
|
Сергей Рудаковский пишет:
адресе получателя стоит пользователь этого сервера, но письмо приходит совершенно другому пользователю этого сервера. |
У вас в Recipient Filtering стоит проверка наличия пользователя в AD?
C уважением Д.К.
|
|
|
Сергей Рудаковский
Заглянувший
Всего сообщений: 21
Дата регистрации: 29.08.2006
|
Создано: 19.10.2007 01:44:27
|
|
Дмитрий (Dakl) пишет:
У вас в Recipient Filtering стоит проверка наличия пользователя в AD? |
Global Setting - Message Delivery - Recipient Filtering -
Список пустой, только галочка внизу
Качаю SP2, поставлю, посмотрю, что будет.
|
|
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 22.10.2007 03:13:25
|
|
Сергей Рудаковский пишет:
Список пустой, только галочка внизу |
Это еще ничего не значит. Включается он в свойствыах Virtual SMTP-edit
C уважением Д.К.
|
|
|
Сергей Рудаковский
Заглянувший
Всего сообщений: 21
Дата регистрации: 29.08.2006
|
Создано: 22.10.2007 04:35:17
|
|
Дмитрий (Dakl) пишет:
Включается он в свойствыах Virtual SMTP-edit |
Можно подробнее где это смотреть?
В свойствах SMTP Virtual Server 4 закладки, на закладке Access кнопка Authentication, там включено все: анонимный доступ, базовая авторицация и встроенная авторизация винды.
Если оставить только авторизацию винды, то на почтовых клиентах придется включить пароль на отправку почты.
На кнопке Relay список адресов, с которых разрешена пересылка почты.
Все остальное по умолчанию.
|
|
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 22.10.2007 06:38:43
|
|
Сергей Рудаковский пишет:
Можно подробнее где это смотреть? |
Virtual SMTP-Advansed(справа от IP address)-Edit
|
Сергей Рудаковский пишет:
Если оставить только авторизацию винды, то на почтовых клиентах придется включить пароль на отправку почты. |
Неправда ваша...если вы по MAPI ходите...
C уважением Д.К.
|
|
|
Сергей Рудаковский
Заглянувший
Всего сообщений: 21
Дата регистрации: 29.08.2006
|
Создано: 23.10.2007 01:18:07
|
|
Дмитрий (Dakl) пишет:
Virtual SMTP-Advansed(справа от IP address)-Edit |
Нашел, там стоит галочка на Apply Recipient Filter, остальные фильтры отключены, но они фильтруют отправителей.
И еще, посмотрел логи руками и нашел десятка три подозрительных IP-адресов в колонке client-ip и client-hostname, примерно такого вида:
76.87.194.199 cpe-76-87-194-199.socal.res.rr.com
87.6.57.245 host245-57-dynamic.6-87-r.retail.telecomitalia.it
142.165.119.44 melksk01d01010144.dial.sasknet.sk.ca
222.214.154.185 185.154.214.222.broad.nj.sc.dynamic.163data.com.cn
Но что-то никак в Exchange 2003 не найду куда вписать эти адреса, чтобы сервак с них ничего не принимал?
Что значит если в логе в поле client-ip и client-hostname стоит прочерк?
И вот еще что подозрительно, раньше антиспам фильтровал по 4-5 тысяч сообщений в день, сейчас по 7500 сообщений в день! Откуда такое увеличение активности, кто-то из пользователей основательно засветился?
|
|
|
Сергей Рудаковский
Заглянувший
Всего сообщений: 21
Дата регистрации: 29.08.2006
|
Создано: 30.10.2007 04:57:31
|
В чем причина того, что письмо в адресе получателя которого стоит [email protected] приходит в ящик [email protected] , [email protected] и т.д., при том, что [email protected] это не группа рассылки, а обычный ящик, правда засвеченный у спамеров.
Как в Exchacge 2003 включить проверку соответствия адреса и ящика в которое попадает письмо?
|
|
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 30.10.2007 07:58:31
|
|
Сергей Рудаковский пишет:
Как в Exchacge 2003 включить проверку соответствия адреса и ящика в которое попадает письмо? |
Это в rdcipient Filtering(внизу чебокс проверять на наличие в домене)
Параметр в AD msExchRecipTurfListOptions (сам RF активируется в свойствх SMTP)
Но мне кажется в вашем случае тут немного другое.
Неплохо было бы на само спамерское письмо взглянуть...там есть в скрытытх копиях ваши адреса скорее всего.
Этот RF палка о двух концах...
С ним конечно неплохо таппитинг использовать.
C уважением Д.К.
|
|