Delete
Заглянувший
Всего сообщений: 4
Дата регистрации: 02.02.2009
|
Создано: 15.02.2010 08:08:55
|
|
извиняюсь сразу за не внятную тему. Но даже сформулировать нормально затрудняюсь. мистика !!!
Внешнее проявление одно и крайне не приятное в очереди на отправку совершенно рандомно начинает генериться жуткое количество до 250000 (за 3-4 часа) писем с левыми sender'ами.
Relay снаружи естественно закрыт, проверялось всеми возможноми тестами в инете, telnet и об этом же говорят собственно настройки virtual smtp server, smtp connector.
для внутренний сети relay открыт. logging на ISA по 25 порту и по адесу сервера выдает только внешние подключения. Как и логи smtp у exchange. Все вроде тихо потом в произвольный момент времени очередь начинает рости с разной скоростью, но временами по 100 писем каждые 10 секунд.
В этот момент на virtual smtp server висит от 1 до 10 сесий с внешних адресов (сразу кста вопрос что это если relay закрыт длительность по 30-40 секунд может больше).
Пытался запретить внутри сети соединение с exchange по 25 порту с наиболее подозрительных компов/юзеров. потом просто запрещал всем. Иногда во времена подобных действий рост очереди внезапно прекращался, но радость бывала не долгая, когда выключал правило он не возбновлялся :rotate: по видимому атаки идут не постоянно. Потому что после этого может быть несколько часов абсолютно спокойных, но через некоторое время все возобновляется. Иной закономерности кроме соединений на virtual smtp server’e не выявил.
Т.е. по здравому рассуждению спамят из инета, но каким образом и как с этим бороться если все что можно уже закрыто. Если все же изнутри вирусы то почему не видно соединений не на ISA не в логах exchange.
Вообщем исходящая почта парализована так как единственное что смог предпринять это зарулить smtp connector на несуществующий адрес и указать never run.
Естественно антивирус Symantec corp ничего подозрительного не находит... Help начинаю верить в мистику….
PS: может ли такое быть реализовано снаружи при утечке/подборе пароля активного юзера? Других мыслей просто же нет…
|
Delete
Заглянувший
Всего сообщений: 4
Дата регистрации: 02.02.2009
|
Создано: 18.02.2010 13:05:00
|
Вообщем полевые испытания предполагаемой схемы (описанной в сообщение выше) завершились полным подтверждением ее работоспособности. Для кого это не было очевидным, для меня не было. Внимание на картинку и описание ниже.
pic
Это сервис email notification raid controllers 3ware
В данном случаи я пытаюсь настроить уведомление от имени [email protected] на почтовый ящик на блабла@mail.ru указав в виде mail server свой exchange server.
Если не указывать логиг и пароль (нижние пункты) то выдается закономерная ошибка 550 5.7.1 Unable to relay
Если же я указывае логин и пароль произвольного реального юзера в данном случаи юзер CG даже не имеет mail box на exchange. Письмо спокойно оказывается в очереди на отправку к серверу mail.ru
Но не в tracking centre не в логах smtp не еще где-то я не могу увидеть что данное письмо отправлено через учетную запись CG
Отсюда вопрос можно ли как-то это выяснить и если можно то как?
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 24.02.2010 03:31:46
|
Я на вашем месте поднял бы уровень логирования для MsexchnageTransport на максимум и перезапустив службу SMTP проверил бы...какие еще сообщения придут в лог приложений.
Все что непонятно кидайте сюда посмотрю.
C уважением Д.К.
|