none
Configurazione Sbagliata?Open Relay RRS feed

  • Domanda

  • E' un po di tempo che trovo le code di exchange piene e andando a 
    vedere il Log vedo che sono tutte email indirizzate all'esterno da un 
    ip esterno alla nostra LAN. 
    Leggendo qua e la articoli su internet sembra che il nostro server sia 
    configurato correttamente per evitare il relay: la scheda Restrizioni 
    relay delle proprietà del Default Smtp Virtual Server è selezionato 
    Solo la lista seguente e consenti il relay agli utenti 
    autenticati.Finora ho tamponato il problema bloccando gli ip che 
    sparano mail ma come posso risolvere il problema una volta per tutte?? 
    C'è qualche altra impostazione che posso verificare? 

    Grazie in anticipo a tutti

    Francesco 

    giovedì 20 maggio 2010 09:33

Tutte le risposte

  • Aggiungo che ho verificato che non si tratti di messaggi di mancato recapito quelli presenti nelle code.
    giovedì 20 maggio 2010 09:35
  • Se le mail non sono indirizzate alle tue mailbox per forza di cosa è abilitato il relay del sulla porta 25. Leggi qui http://support.microsoft.com/kb/324958/en-us

    Un altra ipotesi e che ti hanno rubato le credenziali e si autenticano sul server, ma questo puoi vederlo da log.


    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    giovedì 20 maggio 2010 09:45
    Moderatore
  • Ma sei sicuro che i messaggi non sono generati dal tuo server o da qualche client della rete?
    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    giovedì 20 maggio 2010 09:46
    Moderatore
  • Ora ho abilitato il log come descritto nell'articolo che mi hai indicato per vedere se è un utente autenticato

    Questa è una riga di quelle incriminate che ci sono nel log:

     

    2010-5-19 0:0:3 GMT 219.147.172.2 User mailcarp1.srv.ualberta.ca SERVMAIL 192.168.1.4 cm514@freenet.carleton.ca 1031 SERVMAILyEXUIEAOeIi000006dd@servmail.caem.it 3 0 2716 50 2010-5-18 20:45:48 GMT 0 Version: 6.0.3790.4675 - - info@fbi.org -

    giovedì 20 maggio 2010 10:27
  • Aggiungo a quanto già detto da Peppacci che, con le relay restrictions, puoi fare in modo che ip che non sono della tua/tue subnet non possano fare relay nemmeno se autenticati.

     

    Ciao!


    Diego Castelli
    giovedì 20 maggio 2010 10:28
  • Ma se restringo la possibilità di relay solo ad ip che sono nella mia Subnet,poi se uno invia una mail da Owa che succede?
    giovedì 20 maggio 2010 10:42
  • Allara, per le normali funzionalità di exchange quindi con le mailbox su ed i vari servizi client, l'unica cosa da verificare è quanto scritto nell'articolo. Creare delle restizioni e garantire il relai solo a pochi ip è una configurazione particolare che si da la server exchange, non è il tuo caso, al mossimo devi bloccarne alcuni e non lascire abilitati pochi. Per owa è il server che genera l'email quindi e lui che fa il sent.


    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    giovedì 20 maggio 2010 12:32
    Moderatore
  • Io nella sezione "Relay Restriction" ho selezionato Only the list above (dove non ho nessun ip aggiunto) ed ho selezionato allow computer which successfully autheticate......

    Nella sezione Address Space del Connettore ho selezionato Entire Organization e ho deselezionato Allow Messages to be relayed....

    L'unica cosa che mi viene in mente è:nella sezione Outbound Security è possibile agire in qualche modo??(Al momento è impostato solo Anonimous Access).

    giovedì 20 maggio 2010 13:14
  • Bisogna capire prima da dove vengono questi messaggi. Devi andare a leggeri i log relativi al server virtuale smtp. Quelli del traking log non ti aiutano molto, sempre che non sia un tuo account che manda le mail.


    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    giovedì 20 maggio 2010 13:42
    Moderatore
  • E dove vado a vedere il Log del Server Virtuale?Non sono i log che trovo dentro \Program Files\Exchsrvr\SERVMAIL.log\ ?

     

    (Comunque grazie a tutti per il tempo che dedicate)

    giovedì 20 maggio 2010 13:46
  • Ho attivato il Connection Filtering come  dice in questo articolo

     

    http://www.petri.co.il/block_spam_with_exchange_2003.htm

     

    può aiutarmi visto che gli ip dei client che ho trovato nel log sono spesso nelle DNSBL??

    giovedì 20 maggio 2010 15:29
  • I log che devi analizzare sono quelli indicati nel percorso del server virtuale smtp. Per la configurazione del server ti consiglio di seguire questa guida http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx

     


    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    venerdì 21 maggio 2010 12:34
    Moderatore
  • Ciao Francesco e Peppacci.

    Come azione di SECURITY OUTBREAK REMEDIATION, io ti consiglierei di togliere la spunta al "allow computer that successfully authenticate...) e di mettere la tua subnet all'interno della lista sopra. Ma SOLO se NON hai computer esterni alla tua rete che usano il tuo exchange con account SMTP (POP3).

    Questa impostazione non è consigliabile, come dice Peppacci, ma DRASTICAMENTE RISOLVE il problema IMMEDIATAMENTE.

    Una volta identificati gli account "forati" e cambiate le password con altre SICURE (>8 car., car. complessi, numeri, maiusc. e minusc., NON riconducibili a nomi utente o info personali, nemmeno in l33t speak), potrai tornare alla configurazione attuale (che va già bene, il tuo problema è un security outbreak su uno/alcuni account).

    Insomma: BISOGNA METTERE UN FRENO alla cosa, quando si viene forati, POI si analizzano i logs e si correggono i problemi (al sicuro dentro al forte).

    Spero di esserti stato utile!


    Diego Castelli
    martedì 25 maggio 2010 08:22
  • Oltre agli utenti della subnet abbiamo 1 solo utente che utilizza PoP3 e altri che utilizzano la mail via OWA.

    Quello che non ho capito è come fare a scoprire quale utente è stato forato.Ho abilitato il log negli eventi di windows ma non trovo niente.

     

    Grazie anche a te Diego!

    martedì 25 maggio 2010 08:32
  • Come azione di SECURITY OUTBREAK REMEDIATION, io ti consiglierei di togliere la spunta al "allow computer that successfully authenticate...) e di mettere la tua subnet all'interno della lista sopra. Ma SOLO se NON hai computer esterni alla tua rete che usano il tuo exchange con account SMTP (POP3).

    Già... peccato che se il sistema le cui credenziali sono state rubate sia infetto, l'eventuale cambio di credenziali non sortirà effetti positivi :)

    Il discorso è semplice; il relay va permesso solo ad utenti autenticati e, nel caso di utenze esterne, l'autenticazione, sia questa su SMTP o POP3 va ammessa SOLO ed unicamente su connessione SSL; per chiarire, la 25/tcp dovrebbe essere l'UNICA porta pubblicata e dovrebbe essere utilizzata solo per ricevere emails da hosts esterni; il resto del traffico (autenticato - POP3, SMTP, IMAP) dovrà essere permesso solo tramite connessioni SSL

     

    mercoledì 26 maggio 2010 13:43
  • Occhio, hai pubblicato OWA su "https" ? Se non lo hai fatto.. rivedi la tua configurazione ed assicurati che OWA sia accessibile solo su https, stessa cosa vale per le utenze esterne che utilizzino SMTP/POP3/IMAP e che dovranno "lavorare" solo su SSL

    Per quanto riguarda le emails che escono dal server, se veramente c'è stato un "furto di credenziali", usa le GPO per impostare regole di complessità per le passwords e quindi, sempre tramite GPO forza un cambio password per tutte le utenze "standard" (per gli admin etc... dovrai provvedere tu a mano)

     

    mercoledì 26 maggio 2010 13:48
  • Ciao Obiwan anche su questo canale,

    Ho controllo Isa Server e OWa è pubblicato su Http.

    Prima di risolvere questo problema vorrei capire come poter scoprire se c'è stato un furto di credenziali su qualche utenza.

    mercoledì 26 maggio 2010 14:04
  • Ciao Obiwan anche su questo canale,

    Ho controllo Isa Server e OWa è pubblicato su Http.

    Prima di risolvere questo problema vorrei capire come poter scoprire se c'è stato un furto di credenziali su qualche utenza.


    Ciao :)

    Uhm... MALE; vedi di pubblicare sia OWA che (eventualmente) POP3/SMTP autenticati usando SSL (il normale SMTP - 25/tcp - continuerà a lavorare come adesso) ed evita di pubblicare POP3/IMAP "lisci"

    Per quanto riguarda il furto di credenziali, dovresti controllare i logs ma invece di perdere tempo a farlo, inizia FORZANDO un CAMBIO di credenziali e poi avrai tutto il tempo di verificare quali accounts siano stati "forzati"

     

    mercoledì 26 maggio 2010 14:08
  • La cosa che da una parte mi fa ridere e da quell'altra piangere...è che tutto è cosi da 3 anni!!!!!!!!E va a capire quanti soldi hanno pagato per fare questa configurazione...comunque sto andando OT ma permettetemi lo sfogo!!!

    mercoledì 26 maggio 2010 14:29
  • Se permetti evito di rispondere... ci sono passato e so quanto possano essere STUPIDI (per non dire di peggio) dei personaggi che, pur non avendo conoscenze specifiche, si ergono ad "amministratori" di rete e, come logica conseguenza, si fanno bellamente fregare da figuri che sanno perfettamente come succhiare soldoni :P

     

    giovedì 27 maggio 2010 12:38
  • Purtroppo lavoro per una azienda medio piccola dove gli informatici come me sono "informatici a metà" senza poter fare aggiornamento,corsi e soprattutto senza avere il tempo materiale per dedicarsi alla pura informatica.Ci è concesso fare gli informatici soolo quando ci sono i problemi........ovvia ora basta :-D
    giovedì 27 maggio 2010 12:49
  •  

    Hm... capito.. però questo NON ti impedisce (non VI impedisce) di documentarvi, aggiornarvi o fare "esperimenti" :) tutto sommato le virtual machines sono semplici da mettere in piedi e si possono usare per provare praticamente qualsiasi cosa ;)

     

    Per il resto... sta a te far capire alla tua azienda che crescere significa anche e soprattutto aggiungere valore e che tale valore serve anche e soprattutto per riuscire a restare "ahead of the pack" ;) !!

     

    giovedì 27 maggio 2010 13:11

  • Ricapitolando; inizia seguendo queste istruzioni

    http://support.microsoft.com/kb/324958

    http://support.microsoft.com/kb/895853

    ed assicurandoti che il tuo exchange sia correttamente configurato e non funga da "Open Relay", fatto ciò, aggiungi a quanto sopra anche quanto spiegato qui

    http://support.microsoft.com/kb/842851

    quindi abilita il logging SMTP ed usa questo tool

    http://www.lizard-labs.net/PageHtml.aspx?lng=2&PageId=18&PageListItemId=17

    per analizzare i logfiles e controllare se vi sia traffico anomalo e, nel caso, verificare con quali credenziali venga inviato tale traffico; considera che sarebbe comunque una buona idea forzare un cambio di tutte le credenziali delle varie utenze

     

    venerdì 28 maggio 2010 08:39
  • Grazie a te Obi e a tutti quelli che "perdono" tempo a rispondere!

    Mi metto a ricapitolare la situazione!

    martedì 1 giugno 2010 08:58
  • Ho seguito la checklist:

    --L'inoltro me l'ha bloccato...anche se come messaggio di errore ho ricevuto: IP di casa bloccato da Zen.spamhouse.org

      probabilmente perchè zen.spamhouse.org che ho abilitato sul server exchange blocca gli ip dinamici?
      
    --Ho verificato sia la configurazione del relay e del connettore ed è quella consigliata

    --Avevo gia abilitato la registrazione nel log eventi di windows ma l'evento 1708 non lo trova

    --ISA Server:trovo una regola che si basa sul protocolo SMTP  e che consente il traffico da "Anywhere" all'ip del mio server.penso che si tratti della regola che consente la ricezione della posta sulla porta 25.E credo che questa ci debba essere giusto?

    --Gli attacchi continuano..stamattina da 3 indirizzi Ip diversi a questo punto penso che sia opportuno togliere la possibilità di inoltrare messaggi a chi si autentica.Se ho capito bene l'unico problema può essere quello di client che si connettono con PoP3
    martedì 1 giugno 2010 10:48
  • Per quanto riguarda l'accesso da IP dinamici, questo ora è consentito SOLO nel caso in cui la connessione SMTP sia AUTENTICATA, quindi, se vuoi inviare posta usando il server exchange dal tuo computer di casa, dovrai configurare lo stesso per autenticarsi all'atto della spedizione utilizzando delle credenziali valide

    Per quanto riguarda la regola "anywhere" -> ip:25 questa è la regola di pubblicazione del servizio SMTP e deve essere attiva, in caso contrario non riceverai più posta dall'esterno

    Per quanto riguarda "gli attacchi", ti ho già raccomandato di cambiare TUTTE le password ma evidentemente la cosa ti è sfuggita; vedi, se un utente esterno dovesse inviare posta tramite il tuo server, l'unico modo per farlo sarebbe autenticandosi (possibilmente utilizzando una connessione SMTP protetta da SSL) se però, per un qualsiasi motivo, le credenziali di un dato utente sono state "rubate", le stesse potranno essere utilizzate "illegalmente" per inviare posta, ora, il primo passo è quello di cambiare TUTTE le credenziali, il secondo quello di monitorare i vari tentativi di accesso FALLITI al servizio SMTP

     

    martedì 1 giugno 2010 13:09
  • No no non mi è sfuggito il suggerimento di cambiare le psw, ci sto pensando e cercando di capire in quali posti poi devo andare a aggiornare le psw in modo che continui a funzionare tutto.

    Io nel frattempo ho deselezionato la casella "Allow Authenticated USer to relay..." fino a che non avrò cambiato tutte le password.Se non ho capito male cosi facendo avranno problemi solo i client che si connettono in Pop3,non cambierà nulla per chi utilizza Owa.Giusto?

     

    Buon giorno di vacanza

     

    martedì 1 giugno 2010 15:21
  • POP3 serve a SCARICARE la posta, NON ad inviarla, per l'invio si usa SMTP

    Per quanto riguarda le passwords, se exchange è configurato "normalmente" le stesse sono quelle usate dagli utenti per accedere al loro account di dominio, quindi sono QUESTE (TUTTE queste) a dover essere cambiate

    Personalmente suggerirei quanto segue:

    Crea una nuova coppia di connectors in exchange per POP3 ed SMTP impostandoli in modo da lavorare ESCLUSIVAMENTE su SSL ossia POP3S su porta 995/tcp ed SMTPS su porta 465/tcp configura SSL su entrambi i connettori e configura SMTP per richiedere OBBLIGATORIAMENTE l'autenticazione e permettere il relay solo alle utenze autenticate; allo scopo leggiti

    http://technet.microsoft.com/en-us/library/bb123457(EXCHG.65).aspx

    http://support.microsoft.com/kb/823019

    Fatto questo, togli la regola di pubblicazione del normale POP3, imposta il normale SMTP per permettere il relay solo agli IP "trusted" (quelli della LAN) e per NON permettere connessioni autenticate, quindi crea due regole di pubblicazione per i servizi POP3S ed SMTPS esposti dai nuovi connettori; a questo punto configura le utenze esterne in modo che per la ricezione e l'invio della posta utilizzino unicamente POP3S/SMTPS con autenticazione

    Il risultato netto sarà che qualsiasi connessione sulla porta SMTP standard con richiesta di autenticazione fallirà miseramente e che il relay sarà permesso UNICAMENTE ai clients LAN; inoltre le utenze "mobili" o "esterne" potranno comunque utilizzare i servizi di posta aziendali utilizzando una connessione protetta (criptata) SSL ed i protocolli POP3S ed SMTPS; come ciliegina sulla torta, l'uso di SSL eviterà che qualche malintenzionato possa intercettare le credenziali di accesso nel caso in cui i tuoi utenti esterni si connettessero da (es.) hotspots pubblici, aereoporti, alberghi etc...

    Dimenticavo; per quanto riguarda OWA, assicurati che anche quest'ultimo venga pubblicato UNICAMENTE su SSL (https, porta 443/tcp) e non sul normale http (porta 80/tcp) e comunque ASSICURATI di CAMBIARE TUTTE le passwords il PRIMA possibile

    ... e speriamo che il Signore ce la mandi bona o, se non è bona, che almeno sia tanta :D

     

    martedì 1 giugno 2010 15:56
  • Si si fino a che pop3 serve per scaricare c'ero :-)..solo che mi sembrava di aver letto sopra che disabilitando l'opzione "Allow authenticated user to relay" avevano dei problemi chi si collegava con un account Pop3 da Outlook.

    Si si speriamo che ce la mandi.... e basta :-))

     

    mercoledì 2 giugno 2010 17:39
  • Disabilitando il relay per gli utenti autenticati (chiedo scusa per il gioco di parole) questi ultimi potranno COMUNQUE scaricare posta tramite POP3 ma non saranno in grado di INVIARE posta; è per questo motivo che ho suggerito quanto già scritto (SSL etc..); in QUALSIASI caso, come ti avevo già scritto nei newsgroups e come ho ripetuto qui, devi assicurarti che la tua rete sia PULITA (quelle tracce di rootkit di cui parlavi NON mi piacciono per niente) e DEVI CAMBIARE TUTTE LE PASSWORDS assicurandoti inoltre che seguano dei criteri di complessità e che NON vi siano utenze con passwords cortissime o addirittura vuote

     

     

     

    giovedì 3 giugno 2010 08:32