none
Exchange 2010 : Spoofing Attaque et spams RRS feed

  • Question

  • Bonjour à tous,

    Je m'occupe d'un serveur Exchange 2010 (en fonction depuis 7 ans sans soucis) qui subit actuellement une "Spoofing Attak" :

    Un utilisateur "user@mondomain.com" utilise le serveur pour balancer des mails/spam vers l'extérieur.

    Concernant le paramétrage, tout est fait selon le Best Practice : not an open relay, ptr ok, Spam filter ok, SPF record ok.

    J'ai commencé par exécuter cette commande et redémarré le service de transport mais apparemment ne fonctionne pas sur Exchange 2010 :

    Get-ReceiveConnector | remove-ADPermission -User "AUTORITE NT\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    J'ai lu ensuite que l'on pouvait bloquer son propre domaine avec le "Sender Filter" sans que ça ne pose de problèmes pour les utilisateurs de l'AD authentifiés :

    - Cela fonctionne pour les adresses du type "prénom.nom@mondomain.com"  

    - Cela ne fonctionne pas pour les adresses du type "prénomnom@mondomain.com" : les expéditeurs ne sont pas bloqués ! :

    Dans les logs ils sont en "Accepted Message"

    Voilà, si vous avez une idée je suis preneur :)


    vendredi 25 mai 2018 16:35

Réponses

  • Le fin mot de l'histoire

    Après avoir activé le diagnostic sur le connecteur de réception il s'avère que le spammeur s'authentifiait avec un compte de l'AD ce qui explique pourquoi le "Sender Filter" ne bloquait pas les mails en "nimportequoi@mondomaine.com"

    Une fois le mot de passe changé, tout est rentré dans l'ordre : on continue d'observer des tentatives d'authentification.

    Bon weekend

    • Marqué comme réponse Kiss92 vendredi 25 mai 2018 23:11
    vendredi 25 mai 2018 23:11

Toutes les réponses

  • Bonjour,

    le filtre d'expéditeur permet d'interdire les adresses de messagerie qui ne sont pas présentes dans l'annuaire.

    Si les adresses prenomNom@Mondomaine.com passent, ce serait qu'elles existent dans l'annuaire (en tant qu'Alias)...

    Il faut détecter si l'adresse IP utilisée pour le dépôt de message est interne ou externe. S'il s'agit d'une station intégrée au domaine qui a été piratée, il suffit de retirer du réseau, le temps de son nettoyage.

    Attention, il ne faut pas empêcher le dépôt anonyme de message, sinon vous ne recevrez plus aucun message d'Internet. Il faut empêcher les messages provenant de l'extérieur avec une adresse de messagerie source correspondant à votre domaine.

    Au pire, une règle de flux SMTP contenant les critères "Venant d'internet" et " domaine expéditeur en @mondodmaine.xxx peut être utilisée pour supprimer ou mettre de côté les messages suspects.

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    vendredi 25 mai 2018 17:50
    Modérateur
  • Merci pour votre réponse :)

    Concernant les adresses "prenomnom@mondomaine.com"  je me suis mal exprimé :

     - des adresses du type "nimporte . quoi@mondomain.com" sont bien bloquées

     - des adresse du type  "nimportequoi@mondomain.com" ne sont pas bloquées !

    Les adresses IP utilisée sont toutes externes

    Concernant la règle de flux SMTP, vous parlez d'une règle de transport ?

    Merci

    vendredi 25 mai 2018 18:07
  • Le fin mot de l'histoire

    Après avoir activé le diagnostic sur le connecteur de réception il s'avère que le spammeur s'authentifiait avec un compte de l'AD ce qui explique pourquoi le "Sender Filter" ne bloquait pas les mails en "nimportequoi@mondomaine.com"

    Une fois le mot de passe changé, tout est rentré dans l'ordre : on continue d'observer des tentatives d'authentification.

    Bon weekend

    • Marqué comme réponse Kiss92 vendredi 25 mai 2018 23:11
    vendredi 25 mai 2018 23:11