locked
falsificación (SPOOFING) de correo SMTP Exchange 2003 RRS feed

  • Pregunta

  • Estimados:

    Estos dos ultimos dias ha estado llegando correo enviado a si mismo a varios usuarios en la bandeja de entrada, ejemplo: en la bandeja de entrada del buzon de Persona Apellido con correo persona@empresa.com llegan mensajes persona@empresa.com, es decir falsificacion de correo.

    Como todos ya saben, una falsificacion de correo es cuando SMTP no es capaz de obtener un nombre desde una GAL (Global Access List), para ese caso Exchange 2003 devuelve el correo no el nombre del remitente y la entrega al destinatario en formato correo persona@empresa.com. En resumidas cuentas devuelve la direccion de correo y no el nombre de la persona que lo envia.

    Mi servidor SMTP esta configurado para enviar y recibir correos a todos los dominios de internet. No tengo habilitada la retransmision por si acaso.

    He habilitado el Filtro de ID. de remitente, he creado un SPF record en mi DNS externo, tengo IP DNS reverso, y el problema persiste, también instale el SPAMFighter pero nada.

    A continuacion indico los pasos que he seguido para habilitar el filtro de ID. de remitente, dividido en dos partes:

    Paso 1. Configuracion global, propiedades de entrega de mensajes:
    • creacion de regla en la pestaña filtrar conexion con sufijo empresa.com
    • ingreso de direccion IP interna 10.0.0.x de mi servidor SMTP Predeterminado Exchange Server 2003 en la pestaña General
    • Deje marcada las casillas Filtrar mensajes con remitente en blanco y Cortar la conexión si la dirección coincide con el filtro en la pestaña Filtrado del remitente
    • En la pestaña Filtro inteligente de mensajes la configuracion de bloqueo de la puerta de enlace la deje en 3 y la accion al bloquear mensajes la estableci en rechazar. La configuracion del correo electronico no deseado del almacen la estableci en 3.
    • En Filtrado de ID. de remitente, estableci en rechazar
    Luego de todo ello siempre sale el siguiente mensaje:
    Administrador del sistema de Exchange
    El Id. del remitente y el filtrado de conexión se deben habilitar manualmente en las asignaciones de direcciones IP del servidor virtual SMTP específico, dado que no estan habilitadas por defecto. Para obtener mas información acerca de cómo habilitar el Id. de remitente o el filtrado de conexión, lea la ayuda asociada.


    Paso 2.  Grupos Administrativos, organizacion, servidores, servidor exchange, protocolos, SMTP, Servidor Virtual SMTP Predeterminado --> Propiedades

    • En la pestaña Propiedades clic en Avanzadas, modificar marco todas las casillas. al aceptar aparece el siguiente mensaje: Configuracion de SMTP: el filtro de ID. de remitente debe configurarse globalmente en las páginas de propiedades Entrega de mensajes. Acceda a las páginas de propiedades Entrega de mensajes del objeto en Configuración Global para configurar el filtrado de Id. de remitente
    • En la pestaña Control de acceso, hago clic en autenticacion y dejo marcada acceso anonimo y autenticacion de windows integrada.
    • En la pestaña Entrega, boton avanzadas, deje marcada la casilla Realizar busqueda DNS inversa en los mensajes entrantes.
    Preguntas:
    La advertencia del SMTP indica que esta mal configurado (paso 2), pero como explico en el paso 1, realice paso a paso las instrucciones del manual en ingles del SPF para la entrega de mensajes, inclusive corri el rendimiento de MSExchange SenderID y pude ver que estaba funcionando.
    ¿Porque sigue apareciendo? me parece que este es el problema

    Me cerciore que funcionara corriendo el contador de rendimiento en MSExchange Sender ID en mi servidor interno en Total Messages Validated by Sender ID y habian 40 en promedio.

    El registro MX y SPF estan creados en un servidor DNS externo Windows 2003 montado sobre un virtual Server con su propia IP externa, los cuales apuntan a la direccion IP externa la cual es administrada por un ISA Server 2006, el cual tiene creada una regla para SMTP para Exchange Server 2003.

    Lo curioso del caso es que a mi me llegan correos enviados a mi mismo, pero a la bandeja correo electronico no deseado.



    Salu2,

    Eduardo

    NUEVA INFO: MOVIENDO LOS MENSAJES A CORREO NO DESEADO TAMBIEN SOLUCIONA EL PROBLEMA
    miércoles, 28 de enero de 2009 14:33

Respuestas

  • He podido solucionar el problema haciendo lo siguiente:

    en la lista de filtro de remitente agregue los correos que tienen falsificacion es decir eduardo@dominio.com  para de esa manera denegar aquellos correos que provengan con el nombre del dominio y no pertenezcan a la organización.

    Esto servira para todos.

    Lo ideal es una combinación de filtro inteligente de mensaje, filtro de ID de destinatario y SPF+ filtro de remitente aplicados al protocolo SMTP, explicado de la siguiente manera:

    el filtro de ID + SPF en DNS validan que un correo pertenezca a cierta organización y controla SPAM

    el filtro inteligente de mensajes, valida correos usando listas negras o comportamiento Spam

    el filtro de remitente actua sobre la falsificación de correo.

    He probado con GFI, SpamSMTP y nada, simplemente no se la pudieron. El unico que pudo solucionar el problema fue MS Antigen para Exchange, sin embargo tendria que gastar.

    Esta solución es valida para aquellos que dispongan de un unico servidor Exchange interno que sirve como almacen y OWA.

    Para todos los que tengan este problema esta es una solucion que ha sido comprobada


    • Marcado como respuesta Eduardo Aprile jueves, 12 de febrero de 2009 15:20
    jueves, 12 de febrero de 2009 15:18

Todas las respuestas

  • He podido solucionar el problema haciendo lo siguiente:

    en la lista de filtro de remitente agregue los correos que tienen falsificacion es decir eduardo@dominio.com  para de esa manera denegar aquellos correos que provengan con el nombre del dominio y no pertenezcan a la organización.

    Esto servira para todos.

    Lo ideal es una combinación de filtro inteligente de mensaje, filtro de ID de destinatario y SPF+ filtro de remitente aplicados al protocolo SMTP, explicado de la siguiente manera:

    el filtro de ID + SPF en DNS validan que un correo pertenezca a cierta organización y controla SPAM

    el filtro inteligente de mensajes, valida correos usando listas negras o comportamiento Spam

    el filtro de remitente actua sobre la falsificación de correo.

    He probado con GFI, SpamSMTP y nada, simplemente no se la pudieron. El unico que pudo solucionar el problema fue MS Antigen para Exchange, sin embargo tendria que gastar.

    Esta solución es valida para aquellos que dispongan de un unico servidor Exchange interno que sirve como almacen y OWA.

    Para todos los que tengan este problema esta es una solucion que ha sido comprobada


    • Marcado como respuesta Eduardo Aprile jueves, 12 de febrero de 2009 15:20
    jueves, 12 de febrero de 2009 15:18
  • Amigo ha mi tambien me ha pasado lo mismo lo que estoy haciendo es abri los logs del dia que tuve problemas los pegue a Excel y me mostro la IP de donde esta saliendo el correo y bloquie la IP en la misma lista
    Grand county 2 D102GGC2
    jueves, 5 de enero de 2012 20:17