Вирус, отправляющий фишинговые письма через сервер обмена
Похоже, что в моей сети есть вирус, который отправляет фишинговые письма через мой сервер обмена. Я вижу сообщения в слежении за сообщениями и вижу много ошибок SMTP для отчетов о недоставке и отклоненных подключений от внешних серверов, но я не вижу никаких аутентификаций SMTP, и я регистрируюсь до MAX. Как я могу найти IP или имя хоста зараженного компьютера? Или есть другое объяснение, кроме вируса?
Антивирусная проверка на сервере чистая. Сервер не является открытым реле.
Спасибо
5 ответов
Вы можете стать жертвой атаки Reverse NDR Spam. Вызывается Backscatter некоторыми.. Проверьте эту статью. В нем говорится о SBS 2003, но у Exchange та же проблема. Эта атака кажется более распространенным прямо сейчас.
Посмотрите и на это. Больше информации возможно. Мы видели это точное поведение в нашей коробке Ex 2003 недавно. NDR Spam
Скажите брандмауэру отбросить любые исходящие SMTP-пакеты на все хосты, кроме вашего почтового сервера. Это предотвратит любой прямой SMTP-спам с любой из ваших потенциально зараженных рабочих станций.
Вы говорите, что ваш почтовый сервер не является открытым ретранслятором, но вы разрешаете ретрансляции из локальной сети? Многие люди делают это, когда настраивают МФУ, сканеры и т. Д. Вы можете протестировать, перепрыгнув на другую рабочую станцию и выполнив:
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: nobody@example.com
rcpt to: somebody@notyourdomain.com
если ты вернешься 250 OKвы разрешаете ретрансляцию, и бот может легко пересылать почту с вашего почтового сервера.
Чтобы найти рабочую станцию, которая является спамом, возьмите ноутбук, установите WireShark. Установите ноутбук на концентратор (убедитесь, что это концентратор) и подключите интерфейс локальной сети на брандмауэре к порту № 2 концентратора, а затем подключите другой кабель от порта № 3 концентратора к интерфейсу локальной сети.
Осветите захват, с фильтром показа как:
tcp.port eq 25 && src.ip != <your.mail.server.ip>
Если вы не получите ничего с этим в ближайшее время, возможно, стоит запустить wireshark с подходящим фильтром для захвата только SMTP-содержимого. Таким образом, вы наверняка увидите, какая система задействована, даже если заголовок подделан.
Проверьте, включена ли фильтрация получателей. Если он выключен и Exchange настроен на отправку отчетов о недоставке, сервер, вероятно, будет принимать почту, отправленную несуществующим пользователям, в результате чего очередь заполняется отчетами о недоставке.
Скорее всего, включение фильтрации получателей предотвращает это. Письма, отправленные несуществующим пользователям, просто не будут приниматься Exchange.
Можете ли вы просмотреть заголовки писем на этих фишинговых письмах? Искать Received: from линия. Он скажет вам, с какого компьютера пришло это сообщение.
->> Received: from infected.computer ([192.168.1.X]) <<---
by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;