none
exchange 2010 RRS feed

  • Domanda

  • Avrei il problema con Exchange 2010. Visualizzando le code dell' HUB e dell' Edge noto numerosi messaggi senza mittente destinati ai domini più strani. Sembrerebbero provenienti da dei computer interni ma l' IP di origine è, come si può notare, 255.255.255.255 non riesco quindi ad individuare  da che client provengono. Mi potete aiutare?

    Grazie.

     

     

    Identità: EXCH1\Shadow\3048\50381
    Oggetto: Impossibile recapitare: Il mio posto preferito in cui giocare
    ID messaggio Internet: <8e4a1b01-758f-4cf5-934c-7416a7bf5a3d@rch.it>
    Indirizzo mittente: <>
    Stato: Pronto
    Dimensione (KB): 6
    Nome origine messaggio: DSN
    IP di origine: 255.255.255.255
    Livello di probabilità di posta indesiderata: -1
    Data ricezione: 20/10/2011 12:32:48
    Data scadenza: 21/10/2011 12:32:48
    Ultimo errore:
    ID coda: EXCH1\Shadow\3048
    Destinatari:  vguwofatn@aimsamerica.org

    • Tipo modificato Anca Popa giovedì 27 ottobre 2011 08:00 in attesa di ulteriori feedback
    • Tipo modificato Anca Popa giovedì 3 novembre 2011 10:37 evidenziare la soluzione
    giovedì 20 ottobre 2011 10:38

Risposte

  • Indirizzo mittente: <>
    Nome origine messaggio: DSN
    IP di origine: 255.255.255.255
    Destinatari:  vguwofatn@aimsamerica.org

    Così, ad occhio e croce, mi sembra che il tuo exchange potrebbe essere un "open relay" OPPURE che stia generando dei messaggi NDR (alias "bounces") ... specie considerando che l'oggetto di quella email è un "Delivery Status Notification" :P

    Direi che potrebbe essere il caso di leggersi per lo meno questo e questo e poi, dopo aver configurato il tutto per bene (anche leggendo i links contenuti nelle pagine di cui sopra), integrare il tutto con quanto potrai trovare qui (info e links); in qualsiasi caso, ad un admin, servono pochi ma fondamentali requisiti; la pazienza, la calma (NIENTE fretta, neanche in emergenza) e la voglia di capire per bene le varie problematiche; il resto viene da solo

    ciao

     

    • Contrassegnato come risposta Anca Popa giovedì 3 novembre 2011 15:53
    venerdì 21 ottobre 2011 12:59
  • Forse ho risolto. In un primo tempo avevo disabilitato la generazione degli NDR Set-RemoteDomain -Identity Contoso -DeliveryReportEnabled $false , però non mi sembrava una buona idea. Poi ho trvovato la possibilità di bloccare i messaggi diretti a destinatari non presenti in exchange Set-RecipientFilterConfig -RecipientValidationEnabled $true. Pensi che sia corretto? Perchè secondo te è disabilitata per default?

     

     

    • Contrassegnato come risposta Anca Popa giovedì 3 novembre 2011 10:37
    mercoledì 26 ottobre 2011 06:33

Tutte le risposte

  • Copiati il message id e verifica dal message tracking center.
    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    giovedì 20 ottobre 2011 12:31
    Moderatore
  • Devo cercare in tutte le mailbox una per una? L'ID del messaggio devo inserirlo in "Cerca le seguenti parole nella riga dell'oggetto?

     

    Ho effettuato una ricerca testuale in questo file "C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking"

    ho trovato traccia del messaggio ma non sono riuscito a capire da che mittente proviene. E' possibile che siano messaggi in attesa di essere elaborati dall' antispam di exchange?

     


    • Modificato Stefano-P venerdì 21 ottobre 2011 03:27
    giovedì 20 ottobre 2011 13:28
  • Ciao Stefano,

    Nell'interpretazione dei log di tracking, questo articolo potrebbe tornarti utile:

    Ricerca dei registri di verifica messaggi

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    venerdì 21 ottobre 2011 11:59
  • Indirizzo mittente: <>
    Nome origine messaggio: DSN
    IP di origine: 255.255.255.255
    Destinatari:  vguwofatn@aimsamerica.org

    Così, ad occhio e croce, mi sembra che il tuo exchange potrebbe essere un "open relay" OPPURE che stia generando dei messaggi NDR (alias "bounces") ... specie considerando che l'oggetto di quella email è un "Delivery Status Notification" :P

    Direi che potrebbe essere il caso di leggersi per lo meno questo e questo e poi, dopo aver configurato il tutto per bene (anche leggendo i links contenuti nelle pagine di cui sopra), integrare il tutto con quanto potrai trovare qui (info e links); in qualsiasi caso, ad un admin, servono pochi ma fondamentali requisiti; la pazienza, la calma (NIENTE fretta, neanche in emergenza) e la voglia di capire per bene le varie problematiche; il resto viene da solo

    ciao

     

    • Contrassegnato come risposta Anca Popa giovedì 3 novembre 2011 15:53
    venerdì 21 ottobre 2011 12:59
  • Mi sembra più probabile la seconda ipotesi. Secondo me questi messaggi sono generati dall' interno della rete (forse da qualche client). Allego un messaggio (dei tanti) presente nella coda HUB (il primo) e nella coda EDGE (il secondo). Non partono mai perché i destinatari sono inesistenti e sono costretto a cancellarli manualmente. Mi basterebbe capire da quale pc proviene. Conosci qualche metodo.

    Un'altra domanda: è possibile bloccare gli NDR generati dall' Exchange?

    Un aggiornamento: sono riuscito a ricreare il problema. Ho inviato dal mio ufficio vero l'Exchange del cliente una e-mail utilizzando come mittente un dominio esistente ma che non ha un mx record es. utente@lycosbox.com

    così  il NDR generato dall' Exchange rimane in coda in attesa di trovare il server di posta del destinatario.

    Come si può contrastare questo fenomeno?

    Grazie.

     

    Identità: EXCH1\Shadow\3048\62001
    Oggetto: Impossibile recapitare: Fattura N24851992    
    ID messaggio Internet: <d75baef1-a326-42e6-9712-3ec729a4ecf3@rch.it>
    Indirizzo mittente: <>
    Stato: Pronto
    Dimensione (KB): 7
    Nome origine messaggio: DSN
    IP di origine: 255.255.255.255
    Livello di probabilità di posta indesiderata: -1
    Data ricezione: 21/10/2011 18:32:41
    Data scadenza: 22/10/2011 18:32:41
    Ultimo errore:
    ID coda: EXCH1\Shadow\3048
    Destinatari:  WBelanger@lycosbox.com

     


    Identità: EXCH2\17783\66942
    Oggetto: Impossibile recapitare: Fattura N24851992    
    ID messaggio Internet: <d75baef1-a326-42e6-9712-3ec729a4ecf3@rch.it>
    Indirizzo mittente: <>
    Stato: Pronto
    Dimensione (KB): 7
    Nome origine messaggio: SMTP:Default internal receive connector EXCH2
    IP di origine: 10.0.0.21
    Livello di probabilità di posta indesiderata: -1
    Data ricezione: 21/10/2011 18:33:24
    Data scadenza: 22/10/2011 18:33:24
    Ultimo errore:
    ID coda: EXCH2\17783
    Destinatari:  WBelanger@lycosbox.com

     




    • Modificato Stefano-P venerdì 21 ottobre 2011 17:48
    venerdì 21 ottobre 2011 16:47
  • Forse ho risolto. In un primo tempo avevo disabilitato la generazione degli NDR Set-RemoteDomain -Identity Contoso -DeliveryReportEnabled $false , però non mi sembrava una buona idea. Poi ho trvovato la possibilità di bloccare i messaggi diretti a destinatari non presenti in exchange Set-RecipientFilterConfig -RecipientValidationEnabled $true. Pensi che sia corretto? Perchè secondo te è disabilitata per default?

     

     

    • Contrassegnato come risposta Anca Popa giovedì 3 novembre 2011 10:37
    mercoledì 26 ottobre 2011 06:33
  • Forse ho risolto. In un primo tempo avevo disabilitato la generazione degli NDR Set-RemoteDomain -Identity Contoso -DeliveryReportEnabled $false , però non mi sembrava una buona idea. Poi ho trvovato la possibilità di bloccare i messaggi diretti a destinatari non presenti in exchange Set-RecipientFilterConfig -RecipientValidationEnabled $true. Pensi che sia corretto? Perchè secondo te è disabilitata per default?


    La generazione dei messaggi NDR dovrebbe essere abilitata solo ed esclusivamente per gli indirizzi appartenenti all'organizzazione; in pratica un "tuo" mittente potrà ricevere da exchange un NDR nel caso in cui (es.) inviasse un messaggio ad un indirizzo errato/inesistente ma, qualsiasi utente esterno NON dovrà ricevere NDR dato che questi sarebbero dei bounces. Per quanto riguarda il recipienti filtering, è buona norma che questo sia abilitato sul server Edge (o, nel caso di un unico server... sul server :D) dato che tale impostazione evita che vengano generati NDR dal tuo server emettendo semplicemente un errore SMTP 5xx nel caso di emails indirizzate a mailboxes inesistenti

     

    mercoledì 26 ottobre 2011 06:58
  • Ciao Stefano,
    oltre quello che gia' ti ha detto Obi, secondo me e' il caso capire se hai una macchina interna infetta.
    I trojan normalmente fanno una chiamata smtp per inviare mail quindi e' il caso di verificare se c'e' qualche macchina interna che cerca di spedire all'esterno.

    Porta il protocol logging a verbose (lo trovi nelle proprieta' del receive connector).
    Ti verranno loggate tutte le comunicazioni smtp, da li potrai capire se c'e' qualche macchina infetta.

    Saluti
    .m

    Massimiliano Luciani

    mercoledì 26 ottobre 2011 08:49
  • Ciao Stefano,
    oltre quello che gia' ti ha detto Obi, secondo me e' il caso capire se hai una macchina interna infetta.

    I trojan normalmente fanno una chiamata smtp per inviare mail quindi e' il caso di verificare se c'e' qualche macchina interna che cerca di spedire all'esterno.

    Porta il protocol logging a verbose (lo trovi nelle proprieta' del receive connector).
    Ti verranno loggate tutte le comunicazioni smtp, da li potrai capire se c'e' qualche macchina infetta.


    Ciao Massi; concordo con quanto hai scritto anche se, c'è da dire che, di norma, i trojan inviano "direct-to-mx" e non passano dal mailserver; in qualsiasi caso, oltre a quanto consigliato da te, credo sia anche opportuno assicurarsi di impostare il firewall "edge" in modo da bloccare qualsivoglia connessione in uscita verso la porta 25/tcp di hosts esterni, consentendo tali connessioni al solo mailserver... anzi, già che ci siamo, sarebbe utile fare la stessa cosa anche per le connessioni in uscita verso la 53 UDP e TCP consentendo le stesse solo ai DC/DNS della rete

     

    mercoledì 26 ottobre 2011 13:07
  • Ciao,

    Questo thread e' stato chiuso per mancanza di aggiornamenti da parte di Stefano, comunque le eventuali domande sull'argomento rimangono ancora aperte ed e' possibile continuare la discussione in questo spazio.

    Grazie a tutti della partecipazione,


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    giovedì 27 ottobre 2011 08:02
  • La soluzione intrapresa è quella che ho citato il 26 ottobre e cioè ho abilitato la voce "Blocca i messaggi inviati a destinatari non presenti nella directory" in "Filtro destinatario" del server Edge che non arrivando all' Hub non provocano la generazione degli NDR.

    Sarebbe un opzione che vedrei bene abilitata per default.

    Saluti e grazie.

    giovedì 3 novembre 2011 10:28
  • Bene. Grazie per averci fatto sapere.

    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    giovedì 3 novembre 2011 10:38
  • La soluzione intrapresa è quella che ho citato il 26 ottobre e cioè ho abilitato la voce "Blocca i messaggi inviati a destinatari non presenti nella directory" in "Filtro destinatario" del server Edge che non arrivando all' Hub non provocano la generazione degli NDR.


    Ossia quanto avevo suggerito; se avessi letto il contenuto dei links che ho postato a suo tempo, avresti scoperto che una delle note raccomanda di evitare la generazione di NDR e fa riferimento a questo sito per spiegare il perchè; in qualsiasi caso, visto che hai "scoperto la soluzione" (nonostante te l'abbia suggerita), meglio per te, ma credo che faresti bene a leggerti il resto della documentazione visto che i bounces sono sono una parte del problema

     

    giovedì 3 novembre 2011 15:00