Con più domande
Configurazione Sbagliata?Open Relay

Domanda
-
E' un po di tempo che trovo le code di exchange piene e andando a
vedere il Log vedo che sono tutte email indirizzate all'esterno da un
ip esterno alla nostra LAN.
Leggendo qua e la articoli su internet sembra che il nostro server sia
configurato correttamente per evitare il relay: la scheda Restrizioni
relay delle proprietà del Default Smtp Virtual Server è selezionato
Solo la lista seguente e consenti il relay agli utenti
autenticati.Finora ho tamponato il problema bloccando gli ip che
sparano mail ma come posso risolvere il problema una volta per tutte??
C'è qualche altra impostazione che posso verificare?
Grazie in anticipo a tutti
Francesco
Tutte le risposte
-
-
Se le mail non sono indirizzate alle tue mailbox per forza di cosa è abilitato il relay del sulla porta 25. Leggi qui http://support.microsoft.com/kb/324958/en-us
Un altra ipotesi e che ti hanno rubato le credenziali e si autenticano sul server, ma questo puoi vederlo da log.
Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx -
-
Ora ho abilitato il log come descritto nell'articolo che mi hai indicato per vedere se è un utente autenticato
Questa è una riga di quelle incriminate che ci sono nel log:
2010-5-19 0:0:3 GMT 219.147.172.2 User mailcarp1.srv.ualberta.ca SERVMAIL 192.168.1.4 cm514@freenet.carleton.ca 1031 SERVMAILyEXUIEAOeIi000006dd@servmail.caem.it 3 0 2716 50 2010-5-18 20:45:48 GMT 0 Version: 6.0.3790.4675 - - info@fbi.org -
-
-
-
Allara, per le normali funzionalità di exchange quindi con le mailbox su ed i vari servizi client, l'unica cosa da verificare è quanto scritto nell'articolo. Creare delle restizioni e garantire il relai solo a pochi ip è una configurazione particolare che si da la server exchange, non è il tuo caso, al mossimo devi bloccarne alcuni e non lascire abilitati pochi. Per owa è il server che genera l'email quindi e lui che fa il sent.
Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx -
Io nella sezione "Relay Restriction" ho selezionato Only the list above (dove non ho nessun ip aggiunto) ed ho selezionato allow computer which successfully autheticate......
Nella sezione Address Space del Connettore ho selezionato Entire Organization e ho deselezionato Allow Messages to be relayed....
L'unica cosa che mi viene in mente è:nella sezione Outbound Security è possibile agire in qualche modo??(Al momento è impostato solo Anonimous Access).
-
Bisogna capire prima da dove vengono questi messaggi. Devi andare a leggeri i log relativi al server virtuale smtp. Quelli del traking log non ti aiutano molto, sempre che non sia un tuo account che manda le mail.
Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx -
-
Ho attivato il Connection Filtering come dice in questo articolo
http://www.petri.co.il/block_spam_with_exchange_2003.htm
può aiutarmi visto che gli ip dei client che ho trovato nel log sono spesso nelle DNSBL??
-
I log che devi analizzare sono quelli indicati nel percorso del server virtuale smtp. Per la configurazione del server ti consiglio di seguire questa guida http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx
Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx -
Ciao Francesco e Peppacci.
Come azione di SECURITY OUTBREAK REMEDIATION, io ti consiglierei di togliere la spunta al "allow computer that successfully authenticate...) e di mettere la tua subnet all'interno della lista sopra. Ma SOLO se NON hai computer esterni alla tua rete che usano il tuo exchange con account SMTP (POP3).
Questa impostazione non è consigliabile, come dice Peppacci, ma DRASTICAMENTE RISOLVE il problema IMMEDIATAMENTE.
Una volta identificati gli account "forati" e cambiate le password con altre SICURE (>8 car., car. complessi, numeri, maiusc. e minusc., NON riconducibili a nomi utente o info personali, nemmeno in l33t speak), potrai tornare alla configurazione attuale (che va già bene, il tuo problema è un security outbreak su uno/alcuni account).
Insomma: BISOGNA METTERE UN FRENO alla cosa, quando si viene forati, POI si analizzano i logs e si correggono i problemi (al sicuro dentro al forte).
Spero di esserti stato utile!
Diego Castelli -
Oltre agli utenti della subnet abbiamo 1 solo utente che utilizza PoP3 e altri che utilizzano la mail via OWA.
Quello che non ho capito è come fare a scoprire quale utente è stato forato.Ho abilitato il log negli eventi di windows ma non trovo niente.
Grazie anche a te Diego!
-
Come azione di SECURITY OUTBREAK REMEDIATION, io ti consiglierei di togliere la spunta al "allow computer that successfully authenticate...) e di mettere la tua subnet all'interno della lista sopra. Ma SOLO se NON hai computer esterni alla tua rete che usano il tuo exchange con account SMTP (POP3).
Già... peccato che se il sistema le cui credenziali sono state rubate sia infetto, l'eventuale cambio di credenziali non sortirà effetti positivi :)
Il discorso è semplice; il relay va permesso solo ad utenti autenticati e, nel caso di utenze esterne, l'autenticazione, sia questa su SMTP o POP3 va ammessa SOLO ed unicamente su connessione SSL; per chiarire, la 25/tcp dovrebbe essere l'UNICA porta pubblicata e dovrebbe essere utilizzata solo per ricevere emails da hosts esterni; il resto del traffico (autenticato - POP3, SMTP, IMAP) dovrà essere permesso solo tramite connessioni SSL
-
Occhio, hai pubblicato OWA su "https" ? Se non lo hai fatto.. rivedi la tua configurazione ed assicurati che OWA sia accessibile solo su https, stessa cosa vale per le utenze esterne che utilizzino SMTP/POP3/IMAP e che dovranno "lavorare" solo su SSL
Per quanto riguarda le emails che escono dal server, se veramente c'è stato un "furto di credenziali", usa le GPO per impostare regole di complessità per le passwords e quindi, sempre tramite GPO forza un cambio password per tutte le utenze "standard" (per gli admin etc... dovrai provvedere tu a mano)
-
-
Ciao Obiwan anche su questo canale,
Ho controllo Isa Server e OWa è pubblicato su Http.
Prima di risolvere questo problema vorrei capire come poter scoprire se c'è stato un furto di credenziali su qualche utenza.
Ciao :)Uhm... MALE; vedi di pubblicare sia OWA che (eventualmente) POP3/SMTP autenticati usando SSL (il normale SMTP - 25/tcp - continuerà a lavorare come adesso) ed evita di pubblicare POP3/IMAP "lisci"
Per quanto riguarda il furto di credenziali, dovresti controllare i logs ma invece di perdere tempo a farlo, inizia FORZANDO un CAMBIO di credenziali e poi avrai tutto il tempo di verificare quali accounts siano stati "forzati"
-
-
Se permetti evito di rispondere... ci sono passato e so quanto possano essere STUPIDI (per non dire di peggio) dei personaggi che, pur non avendo conoscenze specifiche, si ergono ad "amministratori" di rete e, come logica conseguenza, si fanno bellamente fregare da figuri che sanno perfettamente come succhiare soldoni :P
-
Purtroppo lavoro per una azienda medio piccola dove gli informatici come me sono "informatici a metà" senza poter fare aggiornamento,corsi e soprattutto senza avere il tempo materiale per dedicarsi alla pura informatica.Ci è concesso fare gli informatici soolo quando ci sono i problemi........ovvia ora basta :-D
-
Hm... capito.. però questo NON ti impedisce (non VI impedisce) di documentarvi, aggiornarvi o fare "esperimenti" :) tutto sommato le virtual machines sono semplici da mettere in piedi e si possono usare per provare praticamente qualsiasi cosa ;)
Per il resto... sta a te far capire alla tua azienda che crescere significa anche e soprattutto aggiungere valore e che tale valore serve anche e soprattutto per riuscire a restare "ahead of the pack" ;) !!
-
Ricapitolando; inizia seguendo queste istruzionihttp://support.microsoft.com/kb/324958
http://support.microsoft.com/kb/895853ed assicurandoti che il tuo exchange sia correttamente configurato e non funga da "Open Relay", fatto ciò, aggiungi a quanto sopra anche quanto spiegato qui
http://support.microsoft.com/kb/842851
quindi abilita il logging SMTP ed usa questo tool
http://www.lizard-labs.net/PageHtml.aspx?lng=2&PageId=18&PageListItemId=17
per analizzare i logfiles e controllare se vi sia traffico anomalo e, nel caso, verificare con quali credenziali venga inviato tale traffico; considera che sarebbe comunque una buona idea forzare un cambio di tutte le credenziali delle varie utenze
-
-
Ho seguito la checklist:
--L'inoltro me l'ha bloccato...anche se come messaggio di errore ho ricevuto: IP di casa bloccato da Zen.spamhouse.org
probabilmente perchè zen.spamhouse.org che ho abilitato sul server exchange blocca gli ip dinamici?--Ho verificato sia la configurazione del relay e del connettore ed è quella consigliata
--Avevo gia abilitato la registrazione nel log eventi di windows ma l'evento 1708 non lo trova
--ISA Server:trovo una regola che si basa sul protocolo SMTP e che consente il traffico da "Anywhere" all'ip del mio server.penso che si tratti della regola che consente la ricezione della posta sulla porta 25.E credo che questa ci debba essere giusto?
--Gli attacchi continuano..stamattina da 3 indirizzi Ip diversi a questo punto penso che sia opportuno togliere la possibilità di inoltrare messaggi a chi si autentica.Se ho capito bene l'unico problema può essere quello di client che si connettono con PoP3 -
Per quanto riguarda l'accesso da IP dinamici, questo ora è consentito SOLO nel caso in cui la connessione SMTP sia AUTENTICATA, quindi, se vuoi inviare posta usando il server exchange dal tuo computer di casa, dovrai configurare lo stesso per autenticarsi all'atto della spedizione utilizzando delle credenziali valide
Per quanto riguarda la regola "anywhere" -> ip:25 questa è la regola di pubblicazione del servizio SMTP e deve essere attiva, in caso contrario non riceverai più posta dall'esterno
Per quanto riguarda "gli attacchi", ti ho già raccomandato di cambiare TUTTE le password ma evidentemente la cosa ti è sfuggita; vedi, se un utente esterno dovesse inviare posta tramite il tuo server, l'unico modo per farlo sarebbe autenticandosi (possibilmente utilizzando una connessione SMTP protetta da SSL) se però, per un qualsiasi motivo, le credenziali di un dato utente sono state "rubate", le stesse potranno essere utilizzate "illegalmente" per inviare posta, ora, il primo passo è quello di cambiare TUTTE le credenziali, il secondo quello di monitorare i vari tentativi di accesso FALLITI al servizio SMTP
-
No no non mi è sfuggito il suggerimento di cambiare le psw, ci sto pensando e cercando di capire in quali posti poi devo andare a aggiornare le psw in modo che continui a funzionare tutto.
Io nel frattempo ho deselezionato la casella "Allow Authenticated USer to relay..." fino a che non avrò cambiato tutte le password.Se non ho capito male cosi facendo avranno problemi solo i client che si connettono in Pop3,non cambierà nulla per chi utilizza Owa.Giusto?
Buon giorno di vacanza
-
POP3 serve a SCARICARE la posta, NON ad inviarla, per l'invio si usa SMTP
Per quanto riguarda le passwords, se exchange è configurato "normalmente" le stesse sono quelle usate dagli utenti per accedere al loro account di dominio, quindi sono QUESTE (TUTTE queste) a dover essere cambiate
Personalmente suggerirei quanto segue:
Crea una nuova coppia di connectors in exchange per POP3 ed SMTP impostandoli in modo da lavorare ESCLUSIVAMENTE su SSL ossia POP3S su porta 995/tcp ed SMTPS su porta 465/tcp configura SSL su entrambi i connettori e configura SMTP per richiedere OBBLIGATORIAMENTE l'autenticazione e permettere il relay solo alle utenze autenticate; allo scopo leggiti
http://technet.microsoft.com/en-us/library/bb123457(EXCHG.65).aspx
http://support.microsoft.com/kb/823019
Fatto questo, togli la regola di pubblicazione del normale POP3, imposta il normale SMTP per permettere il relay solo agli IP "trusted" (quelli della LAN) e per NON permettere connessioni autenticate, quindi crea due regole di pubblicazione per i servizi POP3S ed SMTPS esposti dai nuovi connettori; a questo punto configura le utenze esterne in modo che per la ricezione e l'invio della posta utilizzino unicamente POP3S/SMTPS con autenticazione
Il risultato netto sarà che qualsiasi connessione sulla porta SMTP standard con richiesta di autenticazione fallirà miseramente e che il relay sarà permesso UNICAMENTE ai clients LAN; inoltre le utenze "mobili" o "esterne" potranno comunque utilizzare i servizi di posta aziendali utilizzando una connessione protetta (criptata) SSL ed i protocolli POP3S ed SMTPS; come ciliegina sulla torta, l'uso di SSL eviterà che qualche malintenzionato possa intercettare le credenziali di accesso nel caso in cui i tuoi utenti esterni si connettessero da (es.) hotspots pubblici, aereoporti, alberghi etc...
Dimenticavo; per quanto riguarda OWA, assicurati che anche quest'ultimo venga pubblicato UNICAMENTE su SSL (https, porta 443/tcp) e non sul normale http (porta 80/tcp) e comunque ASSICURATI di CAMBIARE TUTTE le passwords il PRIMA possibile
... e speriamo che il Signore ce la mandi bona o, se non è bona, che almeno sia tanta :D
-
Si si fino a che pop3 serve per scaricare c'ero :-)..solo che mi sembrava di aver letto sopra che disabilitando l'opzione "Allow authenticated user to relay" avevano dei problemi chi si collegava con un account Pop3 da Outlook.
Si si speriamo che ce la mandi.... e basta :-))
-
Disabilitando il relay per gli utenti autenticati (chiedo scusa per il gioco di parole) questi ultimi potranno COMUNQUE scaricare posta tramite POP3 ma non saranno in grado di INVIARE posta; è per questo motivo che ho suggerito quanto già scritto (SSL etc..); in QUALSIASI caso, come ti avevo già scritto nei newsgroups e come ho ripetuto qui, devi assicurarti che la tua rete sia PULITA (quelle tracce di rootkit di cui parlavi NON mi piacciono per niente) e DEVI CAMBIARE TUTTE LE PASSWORDS assicurandoti inoltre che seguano dei criteri di complessità e che NON vi siano utenze con passwords cortissime o addirittura vuote