none
מחפש תוכנה/סניפר או דרך לזיהוי מחשב ברשת השולח ספאם RRS feed

  • שאלה

  • שלום,
    אחד המחשבים או יותר בחברה ככל הנראה שולח SPAM (נוספנו אחר כבוד לרשימה שחורה של שני שרתים).
    איך ניתן לדעת איזה מחשב ברשת שולח ספאם, אני מניח שזה לפי פורט 25 - אשמח לעזרה בהמלצה לתוכנה או דרך שיעשו את העבודה.

    (ד"א - ניסיתי עם  -Wireshark, אבל אני לא מצליח איך עובדים איתה)

    תודה.

    יום חמישי 02 מאי 2013 06:38

תשובות

  • 1. ההנחה הסבירה היא באמת שנחסמתם מכיוון שאחת התחנות שלחה ספאם החוצה דרך שרת הדואר שלכם.

    2. אני מציע מאוד שתעבור על הפוסט שלי בלינק: http://omrizachay.blogspot.co.il/search/label/Exchangeעל מנת שהשרת שלך לא ישמש באיזושהי צורה כ- mail relay .

    3. תשלח לרשימות השחורות שאתה נמצא בהם מייל נימוסי שזאת הפעם האחרונה שזה קורה.

    4. איך ניתן לדעת אם הבעיה קיימת או הסתיימה-  דבר מאוד חשוב שנקרא:  exchange 2010 queue

    דרכו תוכל לראות את התעבורת דואר היוצאת ולהיות חכם יותר  : http://technet.microsoft.com/en-us/library/dd346698(v=exchg.141).aspx

    5. תתחילו לתכנן מאיזה ספק אתם הולכים לקחת את שירות ה mail relay .

    (:


    אם תגובתי תרמה לפתרון בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק שמשמאלך. תודה



    • סומן כתשובה על-ידי aarrek יום חמישי 02 מאי 2013 08:48
    • נערך על-ידי Omri Zachay יום חמישי 02 מאי 2013 12:30
    יום חמישי 02 מאי 2013 08:21
  • הי,

    כל המחשבים צריכים לצאת ולשלוח דרך שרת הדואר בלבד ובאופן קבוע, כך תמנע בעיות מסוג זה.

    מניעת דואר זבל נעשית ע"י Mail Relay וע"י הקשחת קונקטורים ו-Connection Filtering בשרת הדואר.

    עומס- בכל מקרה דואר נשלח היום דרל השרת דואר עצמו ולכן לא יהיה עומס נוסף.

    אלי.


    Email:eshlomo9@hotmail.com Twitter:https://twitter.com/EliShlomo1

    • סומן כתשובה על-ידי aarrek יום חמישי 02 מאי 2013 11:11
    יום חמישי 02 מאי 2013 10:11

כל התגובות

  • בבקשה פרט:

    1. עם איזה שרת דואר אתם עובדים?

    2. מנין לך שאחד המחשבים מתוך הארגון שולח ספאם החוצה?

    הערת ביניים:

    באופן כללי תמיד מומלץ לרכוש שירות : Mail Relay השירות הזה מאפשר לך לסנן דואר מבחוץ לבפנים והיפכה(הפוך בארמית).


    אם תגובתי תרמה לפתרון בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק שמשמאלך. תודה

    יום חמישי 02 מאי 2013 07:00
  • המשך תשובה:

    רשמת:

    "(ד"א - ניסיתי עם  -Wireshark, אבל אני לא מצליח איך עובדים איתה)"

    חשוב שתדע שלא תוכל לנטר את הרשת שלך בצורה כזאת!  מדוע מכיוון שכל התעבורה שתוכל לנטר באמצעות Wireshark היא אך ורק בין הפורט שלך לסוויצ' ולא תוכל בעצם לרחרח את כל התעבורה שעוברת בסוויצ'.

    מדוע? כי סוויצ' עובד שונה מ- HUB   .

    בהתאם לכך מה שתוכל לעשות הוא דבר כזה: 

    -אתה יכול לקחת HUB ולחבר אותו בין הLAN  שלך לבין ה- Router ואז תחבר ישירות מחשב נייד(עם כבל רשת כמובן) ל-HUB   ואז תתקין על המחשב: Microsoft network monitor or wireshark.

    רק בצורה כזאת תוכל לרחרח את כל התעבורה בארגון.

    - בנוסף 

    איך ניתן לדעת אם הבעיה קיימת או הסתיימה-  דבר מאוד חשוב שנקרא:  exchange 2010 queue

    דרכו תוכל לראות את התעבורת דואר היוצאת ולהיות חכם יותר  : http://technet.microsoft.com/en-us/library/dd346698(v=exchg.141).aspx


    חשוב לציין שהכל תלוי בגודל הרשת שלך שלא ציינת בהודעה.

    אם תשובתי תרמה לך אנא סמן אותה כמועילה.

    תודה


    אם תגובתי תרמה לפתרון בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק שמשמאלך. תודה


    • נערך על-ידי Omri Zachay יום חמישי 02 מאי 2013 08:29
    יום חמישי 02 מאי 2013 07:12
  • היי עומרי קודם כל תודה,

    אנחנו עובדים עם שרת EX 2010 , server 2008 , רשת ובה קצת פחותץ מ- 50 משתמשים.

    לגבי המחשב - זאת רק הנחה - אחרת למה נחסמנו בשני שרתים ?- הנחתי שאחד המחשבים שולח ספאם.

    הבנתי לגבי ה-  -wireshark, תודה.

    יש משהו שניתן לעשות או דרך לבדוק שאכן מדובר במחשב ששולח ספאם.

    היה לי חשד במחשב שנתגלה בו ספאם והוא נוקה !

    איך ניתן לדעת אם הבעיה קיימת או בכלל הסתיימה ?

    תודה רבה מראש.

    יום חמישי 02 מאי 2013 07:20
  • 1. ההנחה הסבירה היא באמת שנחסמתם מכיוון שאחת התחנות שלחה ספאם החוצה דרך שרת הדואר שלכם.

    2. אני מציע מאוד שתעבור על הפוסט שלי בלינק: http://omrizachay.blogspot.co.il/search/label/Exchangeעל מנת שהשרת שלך לא ישמש באיזושהי צורה כ- mail relay .

    3. תשלח לרשימות השחורות שאתה נמצא בהם מייל נימוסי שזאת הפעם האחרונה שזה קורה.

    4. איך ניתן לדעת אם הבעיה קיימת או הסתיימה-  דבר מאוד חשוב שנקרא:  exchange 2010 queue

    דרכו תוכל לראות את התעבורת דואר היוצאת ולהיות חכם יותר  : http://technet.microsoft.com/en-us/library/dd346698(v=exchg.141).aspx

    5. תתחילו לתכנן מאיזה ספק אתם הולכים לקחת את שירות ה mail relay .

    (:


    אם תגובתי תרמה לפתרון בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק שמשמאלך. תודה



    • סומן כתשובה על-ידי aarrek יום חמישי 02 מאי 2013 08:48
    • נערך על-ידי Omri Zachay יום חמישי 02 מאי 2013 12:30
    יום חמישי 02 מאי 2013 08:21
  • הי,

    במידה ויש לך ספאם אתה יכול לבצע כמה דברים על גבי שרת הדואר וכן ברשת עצמה.

    1. תוודא שכל הקונקטורים שלך בשרת הדואר מוקשחים, החל מרמת Sessions ועד למי מותר להוציא דואר דרך השרת.

    2. תוודא ב-Firewall הארגוני שרק שרת הדואר יכול להוציא 25 החוצה.

    3. אתה יכול להפעיל Connection Filtering בשרת הדואר בכדי ליצור רשימות Allow ו-Block מתוך הארגון.

    4. אם יש לך Mail Relay מומלץ שתעבוד דרכו מול שרת הדואר ע"י יצירת קונקטורי ייעודי.

    אלי.


    Email:eshlomo9@hotmail.com Twitter:https://twitter.com/EliShlomo1

    יום חמישי 02 מאי 2013 08:47
  • תודה רבה עומרי ,

    תודה על העזרה אאמץ את המלצותייך.

    יישר כוח ושבת שלום.

    יום חמישי 02 מאי 2013 08:49
  • תודה רבה אלי,

    אני אכן אדאג ל - mail Relay.

    האם ההגדרה שכל המחשבים ישלחו מיילים דרך השרת ורק הוא יוציא מיילים דרך פורט 25 - האם זה באופן קבוע ? או רק לבדוק איזה מחשב שולח ספאם.

    האם זה ימנע הפצת דואר זבל ע"י המחשבים עצמם?

    והאם הדבר לא יהווה עומס רב מדי על שרת הדואר ?

    ובכלל יכול להיות שככה זה עובד גם כרגע - איך יודעים ?

    תודה

    יום חמישי 02 מאי 2013 09:14
  • הי,

    כל המחשבים צריכים לצאת ולשלוח דרך שרת הדואר בלבד ובאופן קבוע, כך תמנע בעיות מסוג זה.

    מניעת דואר זבל נעשית ע"י Mail Relay וע"י הקשחת קונקטורים ו-Connection Filtering בשרת הדואר.

    עומס- בכל מקרה דואר נשלח היום דרל השרת דואר עצמו ולכן לא יהיה עומס נוסף.

    אלי.


    Email:eshlomo9@hotmail.com Twitter:https://twitter.com/EliShlomo1

    • סומן כתשובה על-ידי aarrek יום חמישי 02 מאי 2013 11:11
    יום חמישי 02 מאי 2013 10:11
  • תודה אלי,

    כשאדאג לביצוע Mail Relay אדאג לבדיקת אלו גם.

    תודה רבה !!!

    יום חמישי 02 מאי 2013 11:12
  • aarrek  נשמח אם תסמן את התשובות שהועילו לך בצד שמאל שלך " הצבע כמועיל" על הלחצן הירוק.

    תודה(:


    אם תגובתי תרמה לפתרון בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק שמשמאלך. תודה

    יום חמישי 02 מאי 2013 12:26
  • שלום.

    קודם כל חשוב שתבין מה הבעיה העיקרית ומה תופעות הלוואי.

    הבעיה העיקרית -

    אחד (או יותר) מהמחשבים ברשת של הארגון נמצאים בשליטה של גורמים עבריינים שיכולים לעשות מה שהם רוצים במחשב וברשת-

    לקרוא/למחוק/לשנות מידע במחשב עצמו ובשרתים שלכם, לנסות להפיץ וירוס למחשבים אחרים, וגם לשלוח דואר זבל או וירוסים החוצה.

    חשוב שתבין שזו הבעיה העיקרית והחמורה יותר, ולכן לא מספיק לטפל בנושא של הדואר היוצא אלא אחרי שמזהים את המחשב הנגוע יש לטפל בו באופן יסודי ובמידת הצורך גם לפרמט אותו.

    הבעיה הנוספת -

    נכנסתם לרשימות שחורות כנראה בעקבות שליחת דואר זבל או וירוסים מאחד המחשבים.

    זו הבעיה שדווקא יחסית קל לטפל בה אם יודעים איך, ולא צריך mail relay בשביל זה (הוא נחוץ בשביל דברים אחרים, בעיקר סינון דואר נכנס).

    יש להגדיר ב firewall של הארגון אפשרות להוציא דואר בפורט 25 רק משרת ה exchange שלך (או שרתים נוספים שאמורים לשלוח דואר ישירות),

    ולחסום יציאה בפורט 25 משאר המחשבים ברשת.

    בנוסף לזה להגדיר LOG ב FIREWALL על החסימה הזו כדי לזהות מי מנסה לשלוח, ולטפל בהתאם (ייתכן שזה משהו לגיטימי שצריך לפתוח, או מחשב נגוע בוירוס שדורש טיפול).

    בנוסף לזה אפשר להגדיר ב FIREWALL שהדואר מה EXCHANGE יוצא בכתובת חוקית נפרדת, לעומת גלישה של שאר המחשבים שיוצאת מכתובת אחרת.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שישי 03 מאי 2013 08:52