none
[Quesito] Spam in uscita su Exchange 2003 RRS feed

  • Discussione generale

  • Salve, volevo chiedervi informazioni.

    Ho un server Exchange 2003 NON open relay in dmz, aperto solo per mia lan aziendale.

    I client della lan non appartengono al dominio ma hanno solo il gruppo di lavoro e ip fisso.

    Ho un client infetto da un bot, il quale non usa direttamente il client di posta configurato, ma crea una sessione telnet sulla 25 del server.

    Nelle code del server mi appare solo l'indirizzo fake di email, inventato dal virus sul client e quindi non so di quale client si tratti.

    Domanda 1: come posso fare per capire quale è il client infetto senza dover acquistare costosi software di monitoring sniffing traffico sul server win 2003? se potessi leggere almeno l'header del messaggio ma non so come, o se esistono altri sistemi.

    Domanda 2: posso fare in modo da limitare il  MAIL FROM:  nella composizione del messaggio smtp, alle sole email del dominio miaazienda.it ?           (poi userò l'autenticazione anche sull'smtp, ma per ora necessitavo di questa info specifica.)

    Vi ringrazio dell'aiuto

    Mario


    • Modificato MarioSantucci giovedì 15 novembre 2012 20:39
    • Tipo modificato Anca Popa giovedì 22 novembre 2012 11:52 discussione in corso
    giovedì 15 novembre 2012 20:37

Tutte le risposte

  • 1) potresti usare tcpview per vedere chi si connette alla 25 (guarda le connessioni estblished) http://technet.microsoft.com/it-it/sysinternals/bb897437.aspx

    oppure c'è Microsoft Network Monitor 3.4  sniffer tosto e gratuito, in futuro ci sara anche message-analyzer...

    2) con un eventsink e uno script associato, ma implementare la cosa  non è una banalità. 

    Ti consiglio di abilitare l'autenticazione smtp quanto il più presto possibile, prima che il tuo server entri in qualche blackList

    Ciao


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI



    giovedì 15 novembre 2012 23:44
    Moderatore
  • Aggiungerei una terza opzione a quanto proposto da Gastone Canale.

    Presumo che la DMZ sia stata attivata su un firewall e che questo possa avere dei log da consultare (on-line od off-line). Dovresti avere una visione chiara di ciò che passa tra le due reti.

    Saluti

    Nino

    venerdì 16 novembre 2012 06:00
  • Ciao Mario,

    Abbiamo ancora la tua richiesta aperta nel Forum di Exchange Server. 

    Ci sono stati sviluppi a seguito dei consigli ricevuti?

    Grazie in anticipo di qualsiasi feedback,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 20 novembre 2012 08:06
  • Salve e grazie per le informazioni.

    Purtroppo sono ancora in alto mare.

    Sto iniziando a sniffare per capire da dove viene lo spam, ma arriva a ondate e non è facile beccarlo.

    Ho già implementato l'smtp con auth su tutte le macchine pc (circa 200) ma è ricapitato oggi quindi deduco che il virus si appoggi sulla configurazione del client di posta.

    Se fosse stato possibile il punto 2) nelle opzioni del server senza dover mettersi a programmare script, sarebbe stato l'ottimo.

    Grazie ancora, spero di risolvere al più presto che i dnsbl mi stanno insultando nei peggiori modi.

    Mario



    mercoledì 21 novembre 2012 14:22