none
Relai SPAM depuis exchange 2007 RRS feed

  • Question

  • Bonjour,

    J'ai l'impression que sur notre serveur Exchange 2007 nous faisons relais de SPAMS.

    Dans la file d'attente de notre Exchange je vois par exemple un mail pour l'étranger ect ... Bref cela vient des gens pas de chez nous.

    Savez comment vérifier si la configuration est fait dans les règles de l'art ? 

    Cordialement,

    jeudi 12 mai 2016 15:42

Réponses

Toutes les réponses

  • Bonsoir,

    on peut déjà commencer par ce lien : (saisir son nom de domaine)

    http://mxtoolbox.com/diagnostic.aspx

    Il en existe d'autre plus ou moins détaillé...

    Le test peut être fait rapidement avec la commande "Telnet". (Attention, les retours arrières ne sont pas autorisés pendant la saisie, sinon retaper la ligne entière...

    Telnet NomOuIPduServeurExchange 25

    helo test

    mail from: t@t.t

    rcpt to: w@w.w

    data

    test envoi

    .

    Après la saisie du point (.), si le message est accepté, c'est que le serveur accepte n'importe quel message sans vérifier ni l'expéditeur, ni le destinataire.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 12 mai 2016 17:57
    Modérateur
  • Bonjour,

    Merci pour l’intérêt.

    Ci dessous le résultat du test : 

    SMTP Banner Check Reverse DNS does not match SMTP Banner  More Info
    SMTP TLS Warning - Does not support TLS.  More Info
    SMTP Reverse DNS Mismatch OK - x.x.x.x resolves to mail.domaine.fr
    SMTP Valid Hostname OK - Reverse DNS is a valid Hostname
    SMTP Connection Time 0.891 seconds - Good on Connection time
    SMTP Open Relay OK - Not an open relay.
    SMTP Transaction Time 3.219 seconds - Good on Transaction Time
    Session Transcript:
    Connecting to x.x.x.x

    220 SMTP Welcome [703 ms]
    EHLO PWS3.mxtoolbox.com
    250-SIZE 20480000
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-AUTH GSSAPI NTLM
    250-8BITMIME
    250 OK [734 ms]
    MAIL FROM:<supertool@mxtoolbox.com>
    250 2.1.0 Sender OK [734 ms]
    RCPT TO:<test@example.com>
    550 Blocked [734 ms]

    PWS3v2 4422ms

    Evidemment j'ai pris soin de mettre une adresse en x.x.x.x et un faut nom de domaine dans le résultat.



    vendredi 13 mai 2016 07:08
  • Bonjour,

    Je vous conseille alors de regarder la configuration de vos connecteurs de réception : il y en a t-il qui acceptent les connexions anonymes et qui pourraient être utilisés par des machines sur votre LAN pour envoyer du Spam?

    Peut-être qu'une machine infectée sur votre domaine utilise le protocole SMTP de votre Exchange pour relayer du mail ?

    Pour cela, je vous conseille d'utiliser l'utilitaire "d'exploration des journaux de suivi" afin de déceler l'IP source de ces mails qui vous donnera une idée du(des) coupable(s)


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    Blog : http://sylvaincoudeville.fr

    vendredi 13 mai 2016 07:25
  • Bonjour,

    Dans console exchange / configuration du serveur / transport HUB :

    Je n'ai qu'un connecteur de réception - onglet réseau : 

    Toutes les adresses IP V6 disponible port 587

    (0.0.0.0 255.255.255.255)

    Toutes les adresses IP V4 disponible port 587

    (0.0.0.0 255.255.255.255)

    Toutes les adresses IP V4 disponible port 25

    (0.0.0.0 255.255.255.255)


    onglet "groupes d'autorisation" :

    Utilisateurs anonymes, utilisateurs exchange, serveurs exchange, serveurs exchange hérités cochés.

    L'utilitaire d'exploration de suivi ne me retourne rien de suspect.

    Par contre dans les listes d'attente des messages sur mon exchange j'ai par exemple :

    aster.pl, type de remise "DnsConnectorDelivery", nouvelle tentative ... ect

    J'en ai pas mal des comme ça avec des noms de domaine tous plus farfelus les un que les autres !

    Si je reprends mon exemple juste au dessus et que je clique sur le message pour plus d'information j'ai : 

    Onglet général :

    Identité: CIL53-2K1\794419\3119770
    Objet: Non remis : (SPAM 2)[SPAM] sales receipts
    Identificateur du message Internet: <09bf6690-0a4d-48d2-82e8-b5201ced708f>
    À partir de l'adresse: <>
    État: Prêt
    Taille (Ko): 20
    Nom source du message: DSN
    IP source: 255.255.255.255
    SCL: -1
    Date reçue: 11/05/2016 20:27:23
    Heure d'expiration: 13/05/2016 20:27:23
    Dernière erreur: 400 4.4.7 Message delayed
    ID de file d'attente: CIL53-2K1\794419
    Destinataires:  LawrenceKatrina65641@aster.pl

    Onglet "Information du destinataire" :

    Lawrencekatrina65641@aster.pl 

    Ce ne serait pas Orange qui utilise notre serveur ? (Orange est notre FAI)

    Cordialement,


    vendredi 13 mai 2016 08:38
  • Bonjour Roumanlav,

    Est-ce que le problème est toujours d'actualité?

    Cordialement,

    Boyan

    lundi 30 mai 2016 17:31
  • Bonjour,

    Vous trouverez ci-dessous une capture d'écran de ce matin.

    Pas vraimement, est-ce normal d'avoir des domaines du style xxxx.in ou encore xxx.club dans la file d'attente ? 99,99% de nos mails sont destinations d'adresses hébergées en France.



    jeudi 2 juin 2016 07:58
  • En regardant les sources, il s'agit bien de mails de l'extérieur.

    Résolu.


    • Marqué comme réponse Roumanlav mardi 28 juin 2016 12:55
    • Modifié Roumanlav mardi 28 juin 2016 12:55
    mardi 28 juin 2016 09:46