none
שרת דואר Exchange2003 הפצצה של תור ה- Queues RRS feed

  • שאלה

  • שלום חברים,

    יש לי בעיה רצינית בארגון שמונה 5 שרתים, 1 מתוכם הוא שרת דואר 2003 .

    הבעיה היא שה- Queues מופצץ במיילים יוצאים מיעדים לא מוכרים  ואז יש תקיעה גדולה בתור.

    אני מדבר על משהו כמו 200 מיילים בכל דקה.

    חשבתי לעצמי שכנראה מדובר בווירוס אך לאחר הרצת סריקות רבות עם Trend Micro+ הקשחה רצינית בקונסול הניהול  כלום לא עוזר.

    נכון לעכשיו אם פעם ביום אני לא נכנס ל Queues ומוחק  בעצמי את המיילים אז פשוט נוצר עומס בארגון.

    בבקשה עזרתכם...   מצורפת תמונה

    יום שלישי 21 אוגוסט 2012 11:40

תשובות

  • שלום.

    > 1. הבעיה היא לא דואר שאנחנו מקבלים מבחוץ, ממש לא.

    אתה טועה ידידי.

    הבעיה היא כן דואר שמגיע מבחוץ, רק שהוא גם יוצא החוצה.

    זה מה שנקרא relay .

    אגב - הבעיה שלך היא לא רק הדואר שמצטבר ב queue אלא משהו הרבה יותר חמור - דואר זבל בכמויות אדירות שהשרת שלך שולח החוצה,

    מה שגורם לעומס על קו התקשורת, ורישום של השרת שלכם ברשימות שחורות שונות, בעיות בשליחת וקבלת דואר לגיטימי, ועוד...

    השרת שלכם פתוח ל relay מהסיבות הבאות:

    * פתחתם פורט 25 לגישה מבחוץ עבור דואר נכנס (אבל לא השתמשתם במערכת סינון שתהיה לפני השרת).

    * שרת exchange 2003 פתוח ל authenticated relay כברירת מחדל - כלומר כל מי שיודע סיסמא של אחד המשתמשים יכול לשלוח דואר *דרך* השרת שלכם לנמענים חיצוניים.

    * אם יש לכם חשבון עם סיסמא שאני הצלחתי לנחש אותה אפילו מבלי להתאמץ או לבדוק, סביר להניח שיש גם אנשים רעים שיודעים את הסוד הזה.

    הפתרון הוא דווקא לא כל כך מורכב, כאשר חלק מהפעולות אפשר לבצע באופן מיידי ומהיר, וחלק יקחו יותר זמן:

    * בשלב ראשון תחסום את ה relay על ידי זה שתבטל את האופציה שרשמתי קודם, וגם תחליף סיסמא ל besadmin

    (אני מקווה שאתה מבין שזו הפקרות להגדיר סיסמא כזו ועוד לחשבון עם הרשאות חזקות, ושמדובר באחריות שלך ולא של המתקין החיצוני שלא אכפת לו כל כך מאבטחת הרשת שלכם).

    בהמשך גם תטפל בסיסמאות אחרות ברשת.

    * בשלב שני - יש לנקות את ה smtp queue .

    יש כל מיני שיטות לבצע, אפשר למשל לעצור את ה smtp service ואז לנקות ידנית את התיקייה שאם אני זוכר נכון היא נמצאת תחת:

    c:\inetpub\mailroot או משהו דומה.

    קודם כל תעשה move של כל הקבצים שנמצאים בתיקייה queue לתיקייה אחרת בכונן c

    (למקרה שתרצה לבדוק בהמשך את התוכן שלהם ולראות איזה זבל השרת שלכם שלח, או לחפש הודעות לגיטימיות שאתה רוצה להחזיר)

    ואחרי שתסיים את הבדיקות תוכל למחוק לגמרי את הקבצים האלו.

    * שלב שלישי - להפעיל smtp service ולבדוק אם דואר יוצא ונכנס באופן תקין.

    * שלב רביעי - לטפל ב black list שהשרת שלך נכנס אליהן.

    רב הרשימות השחורות מתעדכנות באופן דינמי ואוטומטי, כלומר אחרי בערך יומיים שהשרת שלכם מפסיק לשלוח דואר זבל, הכתובת יוצאת מהרשימה השחורה.

    לכן אם תספיק לטפל בבעיה העיקרית ביום חמישי, אני ממליץ שתטפל בנושא הרשימות השחורות רק אחרי סוף השבוע.

    לצורך בדיקת הכתובת שלכם תיעזר באתרים כמו:

    http://www.mxtoolbox.com/blacklists.aspx

    http://www.dnsbl.info/

    ואחרים.

    * שלב חמישי -

    על מנת למנוע בעיות עתידיות, לחסום פורט 25 מהאינטרנט לשרת שלך וגם לשפר את סינון הדואר הנכנס שלכם, תתחילו להתייעץ לגבי מערכת סינון דואר שתותקן על mail relay אצלכם בארגון או בתור שרות חיצוני.

    בהמשך לזה גם תתכננו שדרוג לשרת הישן - אבל זה כבר סיפור אחר ותתייחס אליו בנפרד בלי קשר לבעיה הנוכחית.

    בהצלחה

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • הוצע כתשובה על-ידי Yaniv TotiashviliModerator יום חמישי 23 אוגוסט 2012 08:33
    • סומן כתשובה על-ידי Eran Sharvit יום חמישי 23 אוגוסט 2012 08:37
    יום רביעי 22 אוגוסט 2012 19:30
  • שלום.

    > כשאתה אומר לחסום את ה relay האם אתה מתכוון להוריד את הסימון בצ'ק-בוקס של: authenticated relay

    כן, בדיוק.

    > כי אם כן הוא כבר לא שם...

    אז ייתכן שהבעיה היא אחרת - וצריך להמשיך לבדוק מאיפה ההודעות מגיעות.

    תסתכל בתייקית queue שציינתי קודם, ותפתח חלק מההודעות ב notepad .

    תנסה לזהות כתובת ip שממנה הגיעו ההודעות - האם זה מהרשת הפנימית או מבחוץ?

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי OmriZ יום שני 27 אוגוסט 2012 04:53
    יום חמישי 23 אוגוסט 2012 16:52

כל התגובות

  • שלום,

    תורדי את הEXMON ותתקין בשרת הדואר,

    http://www.msexchange.org/tutorials/microsoft-exchange-server-user-monitor.html

    תכנסה לESM ותבדיוק בSMTP את ההגדר של קבל של דואר אני מצרף תמיונה

    זה צרך להיות רק על ONLY ושם להגדר את האפשריות מימ הוא יקבל את הדואר אתה מגדר את הIP

    עוד אפשריות זה שתחנה מפצה לבחיוץ ויש להוירוסי בEXMON אתה תיוכל לדעתה

    בהצלחה



    אם תגובתי פתרה את בעייתך - לחץ על "סמן כתשובה" ליד סימן ה V הירוק. Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea


    יום שלישי 21 אוגוסט 2012 12:08
    מנחה דיון
  • שלום.

    1. האם השרת מקבל ישירות דואר מהאינטרנט?

    2. האם יש לכם במקרה חשבון שנקרא besadmin עם סיסמא זהה besadmin ?

    3. יש לבטל את האופציה השנקראת

    allow all computers which successfully authenticate

    כי היא מאפשרת לשלוח דואר דרך השרת שלכם.

    4. אל תעשה את מה שיניב רשם לך לגבי ה connection, כי אם השרת אמור לקבל דואר מבחוץ אז הגבלת ה connection תחסום גם דואר לגיטימי.

    5. תדאגו שיהיה לכם mail relay (אצלכם בחברה או שרות חיצוני) שיקבל את הדואר מבחוץ, יעשה סינון ויעביר אותו לשרת ה exchange,

    ואז גם תחסמו ב firewall את הכניסה של דואר ישירות לשרת ותוכלו למנוע הרבה בעיות.

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שלישי 21 אוגוסט 2012 17:21
  • תודה על התשובות המהירות..

    יזהר לשאלתך:

    1. הבעיה היא לא דואר שאנחנו מקבלים מבחוץ, ממש לא.

    הבעיה היא שהתור של הSMTP  משמע דואר יוצא  מתמלא בכל כמה דקות במלא מיילים מכתובות לא ידועות.

    מכיוון שהמיילים האלה הם עם נפח גדול אז מה שקורה זה שבתור של הSMTP  הם נתקעים .

    ה Queue  מנסה כל כמה דקות לשלוח אותם שוב אך הם לא מצליחים בכלל לצאת החוצה  כי : 1. המיילים גדולים מאוד. 2. הם מכוונים ליעדים לא אמיתיים.

    לצורך הדוגמא :שאני נכנס ל Queues  אני רואה שם בתור מיילים יוצאים מכתובות  מוזרות כמו:   dhgdyshgsdyu@yhoo.com     gdhjg@fdjgf.cu.io

    עכשיו חשוב להבין, בQueues  אמורים לראות אך ורק דואר יוצא מכתובות של הארגון. לא יכול להיות שיהיו לי שם כתובות חיצוניות שמוציאות לי דואר מהשרת.

    משמע שיש ווירוס לדעתי או משהו בסגנון.

    2. כן יש לי חשבון כזה   למה?

    3. סליחה על הבורות  איך אני מגיע לחלונית שצירפת בתמונה?

    יום רביעי 22 אוגוסט 2012 06:28
  • שלום רב,

    א. הגדרות RELAY:

    http://www.servolutions.com/support/config_exchange_2003.htm

    ב. besadmin משמש בד"כ את מערכת Blackberry, ויתכן שהמשתמשים טועים בכתובת לשליחת דואר, אחד המחשבים\מכשירי סלולור נגוע וכדומה.

    יתכן גם שמישהו אולי התלבש על ההתחברות ברשת של ה Blackberry, ולפיכך רצוי שתחליף את הסיסמה של המערכת למשהו מוקשח יותר.

    אם אין לך את הידע לעשות זאת לבד, מומלץ שתעשה זאת עם התמיכה של Blackberry.

    ג. מעבר לכך, יתכנו מחשבים אצלך ברשת שנגועים בוירוס WORM, דבר שיוצר בעיות.

    בהצלחה


    Best Regards, Yuval Sinay, Y.S.Net CTO http://www.ysnet.co.il , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום רביעי 22 אוגוסט 2012 07:37
  • שלום.

    > 1. הבעיה היא לא דואר שאנחנו מקבלים מבחוץ, ממש לא.

    אתה טועה ידידי.

    הבעיה היא כן דואר שמגיע מבחוץ, רק שהוא גם יוצא החוצה.

    זה מה שנקרא relay .

    אגב - הבעיה שלך היא לא רק הדואר שמצטבר ב queue אלא משהו הרבה יותר חמור - דואר זבל בכמויות אדירות שהשרת שלך שולח החוצה,

    מה שגורם לעומס על קו התקשורת, ורישום של השרת שלכם ברשימות שחורות שונות, בעיות בשליחת וקבלת דואר לגיטימי, ועוד...

    השרת שלכם פתוח ל relay מהסיבות הבאות:

    * פתחתם פורט 25 לגישה מבחוץ עבור דואר נכנס (אבל לא השתמשתם במערכת סינון שתהיה לפני השרת).

    * שרת exchange 2003 פתוח ל authenticated relay כברירת מחדל - כלומר כל מי שיודע סיסמא של אחד המשתמשים יכול לשלוח דואר *דרך* השרת שלכם לנמענים חיצוניים.

    * אם יש לכם חשבון עם סיסמא שאני הצלחתי לנחש אותה אפילו מבלי להתאמץ או לבדוק, סביר להניח שיש גם אנשים רעים שיודעים את הסוד הזה.

    הפתרון הוא דווקא לא כל כך מורכב, כאשר חלק מהפעולות אפשר לבצע באופן מיידי ומהיר, וחלק יקחו יותר זמן:

    * בשלב ראשון תחסום את ה relay על ידי זה שתבטל את האופציה שרשמתי קודם, וגם תחליף סיסמא ל besadmin

    (אני מקווה שאתה מבין שזו הפקרות להגדיר סיסמא כזו ועוד לחשבון עם הרשאות חזקות, ושמדובר באחריות שלך ולא של המתקין החיצוני שלא אכפת לו כל כך מאבטחת הרשת שלכם).

    בהמשך גם תטפל בסיסמאות אחרות ברשת.

    * בשלב שני - יש לנקות את ה smtp queue .

    יש כל מיני שיטות לבצע, אפשר למשל לעצור את ה smtp service ואז לנקות ידנית את התיקייה שאם אני זוכר נכון היא נמצאת תחת:

    c:\inetpub\mailroot או משהו דומה.

    קודם כל תעשה move של כל הקבצים שנמצאים בתיקייה queue לתיקייה אחרת בכונן c

    (למקרה שתרצה לבדוק בהמשך את התוכן שלהם ולראות איזה זבל השרת שלכם שלח, או לחפש הודעות לגיטימיות שאתה רוצה להחזיר)

    ואחרי שתסיים את הבדיקות תוכל למחוק לגמרי את הקבצים האלו.

    * שלב שלישי - להפעיל smtp service ולבדוק אם דואר יוצא ונכנס באופן תקין.

    * שלב רביעי - לטפל ב black list שהשרת שלך נכנס אליהן.

    רב הרשימות השחורות מתעדכנות באופן דינמי ואוטומטי, כלומר אחרי בערך יומיים שהשרת שלכם מפסיק לשלוח דואר זבל, הכתובת יוצאת מהרשימה השחורה.

    לכן אם תספיק לטפל בבעיה העיקרית ביום חמישי, אני ממליץ שתטפל בנושא הרשימות השחורות רק אחרי סוף השבוע.

    לצורך בדיקת הכתובת שלכם תיעזר באתרים כמו:

    http://www.mxtoolbox.com/blacklists.aspx

    http://www.dnsbl.info/

    ואחרים.

    * שלב חמישי -

    על מנת למנוע בעיות עתידיות, לחסום פורט 25 מהאינטרנט לשרת שלך וגם לשפר את סינון הדואר הנכנס שלכם, תתחילו להתייעץ לגבי מערכת סינון דואר שתותקן על mail relay אצלכם בארגון או בתור שרות חיצוני.

    בהמשך לזה גם תתכננו שדרוג לשרת הישן - אבל זה כבר סיפור אחר ותתייחס אליו בנפרד בלי קשר לבעיה הנוכחית.

    בהצלחה

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • הוצע כתשובה על-ידי Yaniv TotiashviliModerator יום חמישי 23 אוגוסט 2012 08:33
    • סומן כתשובה על-ידי Eran Sharvit יום חמישי 23 אוגוסט 2012 08:37
    יום רביעי 22 אוגוסט 2012 19:30
  • תודה רבה יזהר...

    1. שרת שלנו סגור ל authenticated relay

    בonly the list רשום רק השרת דואר שלנו.

    כשאתה אומר לחסום את ה relay האם אתה מתכוון להוריד את הסימון בצ'ק-בוקס של: authenticated relay? כי אם כן הוא כבר לא שם...

    2. besadmin שונתה הסיסמא(למרות שאני לא יודע מה הייתה הקודמת)

    תודה רבה על העזרה, אני מתקרב בזכותכם לפתרון...

    יום חמישי 23 אוגוסט 2012 04:17
  • שלום.

    > כשאתה אומר לחסום את ה relay האם אתה מתכוון להוריד את הסימון בצ'ק-בוקס של: authenticated relay

    כן, בדיוק.

    > כי אם כן הוא כבר לא שם...

    אז ייתכן שהבעיה היא אחרת - וצריך להמשיך לבדוק מאיפה ההודעות מגיעות.

    תסתכל בתייקית queue שציינתי קודם, ותפתח חלק מההודעות ב notepad .

    תנסה לזהות כתובת ip שממנה הגיעו ההודעות - האם זה מהרשת הפנימית או מבחוץ?

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי OmriZ יום שני 27 אוגוסט 2012 04:53
    יום חמישי 23 אוגוסט 2012 16:52