none
spam in uscita exchange 2007 RRS feed

  • Domanda

  • ciao a tutti

    ho un sbs2008 con exchange 2007 a cui sono collegati diversi client sulla rete locale e altri attraverso Outlook anywhere da sedi remote.  Il connettore di invio instrada verso uno smarthost non autenticato (in quanto fa una sua autenticazione in base all'ip )

    Da un giorno all'altro mi sono trovato il blocco da parte dello smarthost per spam e la coda piena in visualizzazione code in uscita.

    Rimossa manualmente la coda di spam il server smarthost esterno ha accettato la coda rimanente che  quindi si è svuotata ma monitorando attraverso verifica messaggi ciclicamente esce spam dal mio server verso lo smarthost

    A questo punto ho "temporaneamente"  disabilitato le regole per l'utilizzo sia della vpn che dell'otlook anywhere sul fw.

    Scollegato tutti i client dalla rete locale e scansionato il server sbs. Ancora esce dello spam.

    Ho controllato che il mio SMTP NON fosse un open relay attraverso http://www.mailradar.com/openrelay/ e altri tool similari.

    Ora non so come procedere (a parte modificare tutte le password) ma soprattutto non capisco come identificare la fonte del problema. 

    Qualche suggerimento?

    ciao e grazie

    Cristian

     

     

    martedì 27 agosto 2013 07:31

Tutte le risposte

  • Ciao, fammi capire se ho compreso bene, non hai più nemmeno un client attaccato e ti esce dello spam diretto dal server? hum...molto strano, o ti hanno bucato il server ma questo succederebbe solo se usi una 80 aperta al mondo o se hai un terminal attivo e su 2008 è abbastanza raro comunque.

    Hai guardato con i tool di Exchange da dove escono i messaggi? io controllerei bene se effettivamente non hai ancora dei client attaccati, perchè in quel caso hai sicuramente uno spyware\malware che sta sparando fuori e quello si trova sul server a quel punto...

    A.

    martedì 27 agosto 2013 09:14
    Moderatore
  • no  in realtà è tutto chiuso tranne rdp ma ho già cambiato la password e monitorato la porta.

    in merito a malware o spyware ho scansionato il server e non ho trovato nulla.

    l'unico dubbio è sulle password utente ma prima di procedere volevo essere sicuro che fosse risolutivo perché è un ulteriore disservizio...

    nel tool di Exchange (verifica messaggi):

    compare (spesso ma non sempre)in caso di spam come  sender   postmaster@miodominio.it 

    il "client ip" è ip del mio sbs lato lan e come "server ip" quello del mio smarthost   il connettore utilizzato è sempre SBS internet receive.  per il resto non riesco ad avere informazioni sul come e da chi viene inviato. Dai log del fw non sembrano accessi dall'esterno ma avendo escluso la rete locale  mi trovo senza soluzione..

    forse è veramente un virus che rimane silente ma anche nei processi del server non ho trovato nulla di anomalo.

    esiste un modo per tracciare l'origine? cioè come capisco se viene fatto dalla lan piuttosto che dalla porta 25 sull'ip pubblico con credenziali "rubate"? (a parte i log del fw)

    ciao e grazie

    Cristian

    martedì 27 agosto 2013 10:49
  • provato banalmente a cassare la 25 sulla wan del firewall in entrata? almeno ti rendi conto se ti hanno bucato il server. SE il traffico spam si ferma allora è bucato da fuori, se continua a provare ad uscire...hai già capito.

    A.

    martedì 27 agosto 2013 11:00
    Moderatore
  • non ho ancora provato, diversi client sono negli stati uniti non volevo bloccarli nuovamente dopo lo stop precedente ...stanotte comunque li avviso e procedo con il tuo consiglio.

    grazie domani posto il risultato.

    ciao

    Cristian

    martedì 27 agosto 2013 11:06
  • ciao! mi scuso per la risposta tardiva ma ho avuto alter urgenze prioritarie. 

    Il problema è esterno alla LAN in quanto bloccando la 25 sull' ip del record mx  la coda in uscita è rimasta vuota o meglio c'erano solo le mail interne dell'organizzazione. A questo punto deve supporre che gli invii effettuati sulla 25 dall'esterno debbano essersi autenticati in quanto non è un open relay è corretto? Vedo di procedere  con il reset di tutte le password per risolvere il problema, oppure esiste un alternativa che non ho considerato?

    ciao e grazie

    Cristian

    giovedì 29 agosto 2013 13:32