none
Bloquear un SPAM en EXCHANGE SERVER 2007 RRS feed

  • Pregunta

  • Saludos

    Ya mire otros foros sobre SPAM y no encontre lo que me pasa, Tengo un EXCHANGE SERVER 2007 con un antivirus apoyandolo en la labor de rechazar correo SPAM y demas, el tema es que tengo un usuario creado alguien@midominio.edu.co el cual es un correo de la empresa y le estan llegando hasta 200 correos y más con mensajes que contienen letras en mandarín, chino y demás, ademas en uno de los cuerpos del correo encontre algo como leo@midominio.edu.co y eso me preocupa por que es un usuario que en la vida he creado en mi organización y lo encontre en el cuerpo de los correos; Ahora lo más preocupante es que las IP asociadas en los cuerpos y los correos son todos diferentes he inclisive los dominios como por ejemplos yahoo.cn yahoo2.cn y por más que los agrego en la consola de bloque SPAM que trae el administrador del EXCHANGE siguen llegando. Los pasos que he realizado son borre la cuenta de correo desde el servidor no por shell si no por clic derecho y aun siguen llegando.

    Quisiera que alguien me colaborara por favor en cuanto a que debo hacer ya que no puedo eliminar el correo que tiene un renombre importante y no lo puedo cambiar.

    Gracias

    **************

    Anexo correo que llego hace poco, la que coloque entre asterisco(*) y en mayuscula son datos mi organizacion:

    Delivery has failed to these recipients or distribution lists: mpfei@comcast.net
    The recipient's e-mail address was not found in the recipient's e-mail system. Microsoft Exchange will not try to redeliver this message for you. Please check the e-mail address and try resending this message, or provide the following diagnostic text to your system administrator.
    The following organization rejected your message: imta31.emeryville.ca.mail.comcast.net.
    --------------------------------------------------------------------------------
    Sent by Microsoft Exchange Server 2007
    Diagnostic information for administrators:
    Generating server: *MISERVIDORDECORREO.MIDOMINIO.LOCAL*

    mpfei@comcast.net
    imta31.emeryville.ca.mail.comcast.net #550 5.1.1 Not our Customer ##
    Original message headers:
    Received: from tbsxlbc (*AQUI_UNA_IP_PUBLICA_QUE_NO_ES_MIA_Y_COMIENZA_POR_110*) by *MISERVIDORDECORREO.MIDOMINIO.LOCAL*

     (*LA_IP_DE_MI_SERVIDOR*) with Microsoft SMTP Server id *OTRA_IP_QUE_NO_ES_MIA_DIFERENTE_A_LA_ANTERIOR*; Mon, 10 Sep 2012
     10:36:52 -0500
    Message-ID: <6ACEFF47ACC581E36AD8201CFCAF42D9@tbsxlbc>
    From: =?utf-8?B?55Sw6ZOt57uf?= <*EL_CORREO_DEL_FUNCIONARIO_DE_MI_EMPRESA*>
    To: <65902225@qq.com>
    Subject: =?utf-8?B?MTM1MzM1MOS8geS4muaWh+enmOiBjOS4muWPkeWxleOAguOAguOAgg==?=
    Date: Mon, 10 Sep 2012 23:44:15 +0800
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
     boundary="----=_NextPart_000_011A_01152149.1850DC10"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.5512
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6109
    Return-Path: *EL_CORREO_DEL_FUNCIONARIO_DE_MI_EMPRESA*

    X-KSE-AntiSpam-Interceptor-Info: trusted connection
    X-KSE-Antivirus-Interceptor-Info: scan successful
    X-KSE-Antivirus-Info: Clean

    ***************************

    jueves, 13 de septiembre de 2012 0:15

Respuestas

  • Hola soporteredes!

    No llego a entender bien el proceso que has realizado para intentar la remediación de la situación. Te propongo que revises lo siguiente:

    1) Que revises la cola de mensajes para chequear si tenés mensajes acumulados. Esto lo encontrás en el "Queue Viewer" en los "Tools" del Exchange 2007.

    2) Que revises el Track de mensajes para ver cual es el flujo de los mensajes a los que hacés referencia: si son Sent, Received, etc. Esto lo encontrás también en los Tools, dentro de "Tracking Log Explorer".

    Además de estos dos puntos, te invite a que revises si tu dirección IP no está filtrada como enviadora de SPAM dado que en el email que nos enviás como muestra figura lo siguiente "The following organization rejected your message: imta31.emeryville.ca.mail.comcast.net". Esto sucede cuando la organización a la que le está tratando de llegar el mensaje de correo (sea legítimamente enviado o no) rechaza el mismo porque lo considera SPAM.

    3) A este punto lo podés chequear a través de la siguiente página: http://www.mxtoolbox.com/blacklists.aspx

    Te sugiero revises ambas cosas, principalmente el Tracking Log, y nos puedas informar un poco más al respecto así te podemos ayudar. A priori, te sugiero que revises si el equipo del usuario que encontrás como origen del email está infectado con algún virus y que cambie su contraseña.

    Saludos!!

    Esperamos tu feedback!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    jueves, 13 de septiembre de 2012 5:12

Todas las respuestas

  • Hola soporteredes!

    No llego a entender bien el proceso que has realizado para intentar la remediación de la situación. Te propongo que revises lo siguiente:

    1) Que revises la cola de mensajes para chequear si tenés mensajes acumulados. Esto lo encontrás en el "Queue Viewer" en los "Tools" del Exchange 2007.

    2) Que revises el Track de mensajes para ver cual es el flujo de los mensajes a los que hacés referencia: si son Sent, Received, etc. Esto lo encontrás también en los Tools, dentro de "Tracking Log Explorer".

    Además de estos dos puntos, te invite a que revises si tu dirección IP no está filtrada como enviadora de SPAM dado que en el email que nos enviás como muestra figura lo siguiente "The following organization rejected your message: imta31.emeryville.ca.mail.comcast.net". Esto sucede cuando la organización a la que le está tratando de llegar el mensaje de correo (sea legítimamente enviado o no) rechaza el mismo porque lo considera SPAM.

    3) A este punto lo podés chequear a través de la siguiente página: http://www.mxtoolbox.com/blacklists.aspx

    Te sugiero revises ambas cosas, principalmente el Tracking Log, y nos puedas informar un poco más al respecto así te podemos ayudar. A priori, te sugiero que revises si el equipo del usuario que encontrás como origen del email está infectado con algún virus y que cambie su contraseña.

    Saludos!!

    Esperamos tu feedback!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    jueves, 13 de septiembre de 2012 5:12
  • Hola,

    Sumado a lo que te comenta Pablo, me da la sensación que no tienes configurado un servidor con el rol EDGE Server en tu organización Exchange 2007. La instalación de este rol en tu organización te serviría para filtrar todo el spam que recibes en tu dominio.

    Prueba a configurarlo en tu red perimetral y a configurarlo como receptor de correo.

    Saludos

    Julio Rosua

    jueves, 13 de septiembre de 2012 7:18
  • Hola Pablo gracias por contestar.

    Como te parece que le he realizado un seguimiento y lo que me pone en duda es que todos los mensajes dicen:

    Message Source Name: SMTP:Default

    y

    SCL: 0

    como puedes ver en este ejemplo:

    **************

    Identity: *MISERVIDORDECORREO*\270473\751195
    Subject: 817企业文秘职业发展。。。
    Internet Message ID: <6FA388F6B0EB843FFBC6829A6A1ABC96@cyykr>
    From Address: *ELCORREODELFUNCIONARIO*
    Status: Ready
    Size (KB): 38
    Message Source Name: SMTP:Default *MISERVIDORDECORREO*

    Source IP: 110.53.24.196
    SCL: 0
    Date Received: 9/10/2012 6:45:42 PM
    Expiration Time: 9/13/2012 6:45:42 PM
    Last Error:
    Queue ID: *MISERVIDORDECORREO*\270473
    Recipients:  kopernik@kopernik.com

    ***********

    Gracias que puede ser conociendo que todos mis otros correos dicen algo diferente.

    jueves, 13 de septiembre de 2012 23:52
  • Hola soporteenredes!

    Gracias por la info! Como te dije antes, al parecer tu IP está siendo enviadora de SPAM.

    Para poder ayudarte, por favor te pido que realicen las siguientes acciones:

    1) Que revises la cola de mensajes para chequear si tenés mensajes acumulados. Esto lo encontrás en el "Queue Viewer" en los "Tools" del Exchange 2007. ¡Es importante entender si tenés mensajes acumulados allí! Solamente dinos si tenés o no mensajes acumulados y cuantos.

    2) Que revises el Track de mensajes para ver cual es el flujo de los mensajes a los que hacés referencia: si son Sent, Received, etc. Esto lo encontrás también en los Tools, dentro de "Tracking Log Explorer". Desde aquí te podrás dar cuenta si hay mensajes de tipo "Sent" que hayan salido de tu Exchange hacia el exterior. Por otro lado, también chequeá los mensajes de tipo BAD. Aquí tenés que realizer algún tipo de análisis, pero la info que nos tenés que brindar es si tenés mensajes enviados con estos asuntos "raros" que figuran en el post anterior y en que cantidad (si querés envianos una captura de pantalla).

    3) Que revises si fígurás en listas de SPAM a través de la siguiente página: http://www.mxtoolbox.com/blacklists.aspx . Aquí nos tenés que indicar si figura o no tu dominio en listas y en cuantas.

    4) Por ultimo, que chequees algunos aspectos de tu SMTP como ser si tenés el RELAY habilitado. Esto lo hacés desde la siguiente página: http://www.mxtoolbox.com/diagnostic.aspx . Aquí nos tenés que indicar si el resultado es "OK - Not an open relay." (lo esperable) u otra cosa.

    Es importante que postees los resultados de los 4 puntos para que podamos ayudarte. Esperamos tu posteo!!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 14 de septiembre de 2012 1:18
  • Hola soporteenredes!

    ¿Tenés algún update sobre este post? ¿Pudiste solucionar algo?

    Saludos!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 19 de septiembre de 2012 13:54
  • Saludos

    Amigo gracias por la información, no conocia la herramienta de Exchange para hacer seguimiento, resulta que no se como se logro filtrar un SPAM que se albergo en el servidor y esa era la causa. Lo más curioso es que solo ataca un correo en particular, se vacuno el servidor y listo por los correos que quedan en cola solo se uso la opción "remove messages (without sending NDR's)" y listo.

    De antemano gracias.

    viernes, 21 de septiembre de 2012 22:22