SBS Email Outbreak
У меня есть клиент под управлением SBS 2003 Std. и у них есть какой-то массовый почтовик, который рассылает спам. Мы используем самые последние определения. антивируса Vipre, мы не являемся ретранслятором, мы изменили пароль администратора, и фильтрация получателей включена. Все электронные письма от postmaster@domain.org. Я знаю, что это пахнет как обратная DNS-атака или сбор каталогов, но у нас запущен GFI Mail Essentials, и он не показывает тысячи входящих сообщений, только тысячи исходящих сообщений. Когда-то они были в черном списке, и я удалил их, и я следил за почтовой очередью, чтобы они снова не попали в черный список. Мне действительно нужна помощь, я не знаю, что еще можно сделать, чтобы решить эту проблему!?
2 ответа
Мне неясно, что вы видите.
Я бы включил "Отслеживание сообщений" в Exchange, если он еще не включен (см. http://support.microsoft.com/kb/246856), и убедился, что Exchange Server является или не является источником сообщений.
Я бы вставил в пограничный межсетевой экран правило, запрещающее исходящие соединения через порт TCP 25, за исключением компьютера с сервером Exchange. Это действительно должно быть стандартное правило брандмауэра в каждой локальной сети - только авторизованные почтовые серверы должны общаться с Интернетом через TCP-порт 25.
Если сообщения действительно поступают из Exchange, то отслеживание сообщений должно дать вам подсказки, чтобы отследить источник. Я подозреваю, что на одном из компьютеров работает мошенник SMTP. Правило брандмауэра должно прекратить это и, предполагая, что ваш брандмауэр может сделать некоторую регистрацию, должно показать вам, какой компьютер использует трафик.
Ваш вопрос немного неясен: вы говорите, что у них "есть какая-то массовая рассылка, которая рассылает спам". Я предполагаю, что вы имеете в виду, что это непреднамеренно. Вся эта почта проходит через сервер (проверьте очереди, и это Exchange 2003 Server)? Также неясно, являются ли эти 6 клиентских компьютеров спамом через Exchange Server или они отправляют напрямую на порт 25.
Я видел Exchange 2003, полностью исправленный, технически настроенный правильно, все еще есть дыры, которые позволили реле. Более поздние исправления исправляют их, но не рассчитывайте на это сейчас. Я определенно планирую перейти на SBS 2011, даже если вы не сделаете это немедленно.
Я с другими парнями: у меня есть правило брандмауэра, которое разрешает ТОЛЬКО почтовому серверу порт 25 исходить, и явное правило запрета для всех остальных. Таким образом, даже если вы получаете вирус, рассылающий спам, на каждом ПК, они не могут отправлять напрямую, а ваш провайдер и весь мир не ненавидят вас. Это все проще сделать, если у вас есть очень хорошая схема IP, иначе вам может потребоваться создать несколько правил. Похоже, вы как-то инфицированы, даже если вы еще не нашли его.
Чтобы объяснить сказанное Gravyface, сервис, такой как Google Postini, может заменить ваши текущие локальные фильтры очень дешево. Вся почта приходит и уходит через них, и проверяется на наличие спама / вирусов. Затем вы можете разрешить порт 25 ТОЛЬКО с серверов Google на вашем брандмауэре, так что нет никакой возможности пройти через него, если Google когда-нибудь не испортит. Это также имеет то преимущество, что если у вас нет вторичной записи MX, как это делают некоторые небольшие компании, вся почта отправляется на 4 сервера Google, для которых они выдают записи MX, и даже если ваш сервер не работает, почта очереди до тех пор, пока ваш сервер не вернется в онлайн.