На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Новости Microsoft Exchange Server
Статьи
Программное обеспечение
Форум
Опросы
Полезные ссылки

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2741042
5735
Hosts 1649412
184
Visitors 229396
207

3

Главная / Форумы / Вопросы безопасности в Exchange 2003


Форум «Вопросы безопасности в Exchange 2003»

Версия для печати Версия для печати

Список форумов
Список тем
Поиск по форумам
Помощь
Войти
Регистрация


Тема: «помогите выявить спам источник (очередь ломится, no relay)» в форуме: Вопросы безопасности в Exchange 2003   Просмотров: 738
 
Delete
Заглянувший
 
Всего сообщений: 4
Дата регистрации: 02.02.2009
Создано: 15.02.2010 08:08:55
 
 
извиняюсь сразу за не внятную тему. Но даже сформулировать нормально затрудняюсь. мистика !!!
Внешнее проявление одно и крайне не приятное в очереди на отправку совершенно рандомно начинает генериться жуткое количество до 250000 (за 3-4 часа) писем с левыми sender'ами.
Relay снаружи естественно закрыт, проверялось всеми возможноми тестами в инете, telnet и об этом же говорят собственно настройки virtual smtp server, smtp connector.
для внутренний сети relay открыт. logging на ISA по 25 порту и по адесу сервера выдает только внешние подключения. Как и логи smtp у exchange. Все вроде тихо потом в произвольный момент времени очередь начинает рости с разной скоростью, но временами по 100 писем каждые 10 секунд.
В этот момент на virtual smtp server висит от 1 до 10 сесий с внешних адресов (сразу кста вопрос что это если relay закрыт длительность по 30-40 секунд может больше).
Пытался запретить внутри сети соединение с exchange по 25 порту с наиболее подозрительных компов/юзеров. потом просто запрещал всем. Иногда во времена подобных действий рост очереди внезапно прекращался, но радость бывала не долгая, когда выключал правило он не возбновлялся :rotate: по видимому атаки идут не постоянно. Потому что после этого может быть несколько часов абсолютно спокойных, но через некоторое время все возобновляется. Иной закономерности кроме соединений на virtual smtp server’e не выявил.
Т.е. по здравому рассуждению спамят из инета, но каким образом и как с этим бороться если все что можно уже закрыто. Если все же изнутри вирусы то почему не видно соединений не на ISA не в логах exchange.
Вообщем исходящая почта парализована так как единственное что смог предпринять это зарулить smtp connector на несуществующий адрес и указать never run.
Естественно антивирус Symantec corp ничего подозрительного не находит... Help начинаю верить в мистику….
PS: может ли такое быть реализовано снаружи при утечке/подборе пароля активного юзера? Других мыслей просто же нет…
 
Профиль
E-Mail
Наверх
Delete
Заглянувший
 
Всего сообщений: 4
Дата регистрации: 02.02.2009
Создано: 18.02.2010 13:05:00
 
 
Вообщем полевые испытания предполагаемой схемы (описанной в сообщение выше) завершились полным подтверждением ее работоспособности. Для кого это не было очевидным, для меня не было. Внимание на картинку и описание ниже.

pic

Это сервис email notification raid controllers 3ware
В данном случаи я пытаюсь настроить уведомление от имени [email protected] на почтовый ящик на блабла@mail.ru указав в виде mail server свой exchange server.
Если не указывать логиг и пароль (нижние пункты) то выдается закономерная ошибка 550 5.7.1 Unable to relay
Если же я указывае логин и пароль произвольного реального юзера в данном случаи юзер CG даже не имеет mail box на exchange. Письмо спокойно оказывается в очереди на отправку к серверу mail.ru
Но не в tracking centre не в логах smtp не еще где-то я не могу увидеть что данное письмо отправлено через учетную запись CG
Отсюда вопрос можно ли как-то это выяснить и если можно то как?

 
Профиль
E-Mail
Наверх
Дмитрий (Dakl)
Заслуженный посетитель
 
Всего сообщений: 2856
Дата регистрации: 20.09.2006
Создано: 24.02.2010 03:31:46
 
 
Я на вашем месте поднял бы уровень логирования для MsexchnageTransport на максимум и перезапустив службу SMTP проверил бы...какие еще сообщения придут в лог приложений.
Все что непонятно кидайте сюда посмотрю.

C уважением Д.К.
 
Профиль
E-Mail
Наверх





Список форумов
Список тем
Поиск по форумам
Помощь
Войти
Регистрация




Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010