none
attacco di spammer da internet con notifiche di mancato recapito RRS feed

  • Domanda

  • Buonasera,

    stanotte da internet il nostro server exchange 2003 è stato attaccato con email inviate a destinatari random del dominio aziendale. poichè i destinatari erano errati, il server inviava notifiche di mancato recapito, e dopo poco siamo finiti in diverse blacklist.

    mettendo il filtro (accetta solo destinatari presenti in active directory) à aumentata in modo considerevole la coda smtp. rintracciato l'iP lo abbiamo bloccato sul firewall e in serata pare si sia arreso, ma temo che stia preparandosi a un nuovo attacco con ip diverso.

    in questi casi come ci si può difendere ?

    Grazie

    JK

    • Tipo modificato Anca Popa venerdì 7 marzo 2014 14:35 in attesa di ulteriori aggiornamenti
    • Tipo modificato GastoneCanaliModerator martedì 11 marzo 2014 09:26
    sabato 1 marzo 2014 18:09

Risposte

Tutte le risposte

  • La prima cosa da fare è quella che hai fatto tu, abilitare il filtering dei recipient non in Active Directory, non ho capito però perchè è aumentata la coda SMTP.

    La seconda, ma non in ordine di importanza, è piazzare davanti all'Exchange un buon antispam, confunzionalità di "connection filtering" in modo che lo spam non venga nemmeno accettato, in fase di connessione.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    domenica 2 marzo 2014 10:30
    Moderatore
  • Un'altra contromisura potrebbe attivare qualche rbl, potrebbe trattarsi di uno ip spammer noto
    http://support.microsoft.com/kb/823866/it
    zen.spamhaus.org
    bl.spamcop.net
    cbl.abuseat.org
    ix.dnsbl.manitu.net

    Poi potresti anche abilitare il tarpitting come descritto qui:

    http://support.microsoft.com/kb/842851/it

    Ciao Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    domenica 2 marzo 2014 20:22
    Moderatore
  • In coda la maggior parte dei messaggi erano notifiche di rapporto di mancato recapito, come se queste notifiche fossero state generate senza però riuscire ad uscire dal server. il filtering dei recipient non in Active Directory non dovrebbe evitare proprio di generare anche la notifica ? E' possibile e buona pratica disattivare del tutto la notifica di mancato recapito ?

    Per quanto riguarda l'antispam, noi ne abbiamo uno installato su Exchange che agisce sulle caselle postali, ed in questo caso (email inviate random a caselle postali del dominio non esisenti) non ha effetto.

    JK

    lunedì 3 marzo 2014 07:26
  • Il tipo di attacco di cui sei vittima si chiama "Reverse DNR", spiegato in modo sintetico, ma chiaro, in questo articolo:

    http://blogs.technet.com/b/fareedmk/archive/2007/06/26/how-does-a-reverse-ndr-attack-work.aspx

    Disattivare globalmente gli NDR, personalmente, non la trovo una buona idea, in questo modo potresti creare dei problemi a chi necessita reamente di un NDR, ad esempio un utente esterno che scrive male l'indirizzo email di uno dei tuoi utenti, non riceverebbe nessuna notifica e sarebbe convinto dell'avvenuto recapito.

    La prima cosa che farei, come ha suggerito Gastone, è di attivare qualche RBL, seguendo la KB che ha riportato, poi prenderei in considerazione un sistema antispam migliore, tieni conto che i sistemi antispam installati localmente al server sono efficaci, ma se fai il controllo antispam prima che arrivi al server di posta è meglio.

    Puoi farlo con un appliance o in altri modo, tra i quali potresti considerare delle soluzioni nel cloud, come Microsoft EOP (Exchange Online Protection) oppure Symantec Mail Securiti.Cloud, o mille altri.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    lunedì 3 marzo 2014 09:43
    Moderatore
  • Grazie mille per i consigli e i link che sto prendendo in esame,

    ho scoperto che posso utilizzare un servizio a pagamento del firewall prima che la posta giunga sul server Exchange.

    Mi rimane l'interrogativo di quella coda spropositata per la maggior parte formata da notifiche di mancato recapito.

    Jk

    lunedì 3 marzo 2014 12:36
  • E' necessario che tu snellisca la coda delle NDR, nel link trovi come fare http://support.microsoft.com/kb/886208


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 3 marzo 2014 12:53
    Moderatore
  • Buonasera, come temevo la persona sta ricominciando, vi dò alcune informazioni:

    nelle code se clicco su "trova messaggio" riporto quando scritto sotto.

    al mittente che si vede sotto ho applicato il "filtro mittente" e messo il flag su "interrompi connessione se il filtro corrisponde al mittente".

    Grazie.

    ID Messaggio: <SRVMAIL_2FRaqbC8wSA00000048@mio_server_di_posta>

    mittente:  "Thomas Hill"<thomashll2@yahoomail.com>

    destinatari: Destinatari busta:
    SMTP:401ept@belllsouth.net; SMTP:4942ctxblinzler658@yahoo.de; SMTP:333www1@mail.ru; SMTP:3371064@mail.ru; SMTP:337191@mail.ru; SMTP:33984@mail.ru; SMTP:361148@mail.ru; SMTP:3655_82@mail.ru; SMTP:368232@mail.ru; SMTP:3bratyaiboss@mail.ru; SMTP:3dferma@mail.ru; SMTP:3filosof3@mail.ru; SMTP:3hakomctbo@mail.ru; SMTP:3oq7iphw@mail.ru; SMTP:3x5_94@mail.ru; SMTP:3zaichenok3@mail.ru; SMTP:400240024002@mail.ru; SMTP:4042476@mail.ru; SMTP:4052@mail.ru; SMTP:40bolt@mail.ru; SMTP:4123105@mail.ru; SMTP:431725@mail.ru; SMTP:432709370@mail.ru; SMTP:4332734@mail.ru; SMTP:4414141111@mail.ru; SMTP:4420571@mail.ru; SMTP:4524678@mail.ru; SMTP:4554-12@mail.ru; SMTP:4563335@mail.ru; SMTP:4600815107718@mail.ru; SMTP:474506856@mail.ru; SMTP:476698994@mail.ru; SMTP:482.astra@mail.ru; SMTP:4825769@mail.ru; SMTP:4894@mail.ru; SMTP:494553225@mail.ru; SMTP:4959330@mail.ru; SMTP:4atingushetiaorg@mail.ru; SMTP:4ayka94@mail.ru; SMTP:3rthk@comcast.net; SMTP:41jackcactus_00@yahoo.com; SMTP:3646@inbox.ru; SMTP:4816039258134680@inbox.ru; SMTP:4cbsmith@embarqmail.com; SMTP:444@fake.net; SMTP:449@zoom.co.uk; SMTP:35yz7ev1ex001@sneakemail.com; SMTP:424clh@gmail.com; SMTP:4auction@ccdi.net; SMTP:4brittpv@msn.com;

    lunedì 3 marzo 2014 16:51
  • Il mittente in questi casi è non è significativo, ne reale ... "Thomas Hill"<thomashll2@yahoomail.com> sarebbe importante avere l'ip del server da cui partono gli invii.

    Hai  configurato le quattro RBL ? http://www.petri.co.il/block_spam_with_exchange_2003.htm

    Mi viene il dubbio che il tuo exchange sia un open relay e che non sia un  preoblema di reverse NDR attack,,,,


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    lunedì 3 marzo 2014 17:36
    Moderatore
  • si le RBL le ho configurate. il mittente sarà anche fittizio, ma se exchange riconosce quello e lo metto nel filtro dovrebbe bloccarlo comunque credo. L'IP sabato sono riuscito a beccarlo perchè c'erano diverse connessioni in piedi sull'SMTP ed infatti sono riuscito a fermarlo con il firewall, oggi non ho fatto in tempo.

    il nostro server smtp è mail.sietelspa.it e non è open relay

    Ciao

    Jk

    lunedì 3 marzo 2014 18:32
  • Se abiliti il logging smtp a quel punto dovrebbe essere facile capire da dove provengono, qui trovi un po' di info

    http://blogs.technet.com/b/itasupport/archive/2008/10/10/smtp-analisi-del-protocol-logging.aspx

    Anche se concordo con Roberto, una disabilitazione temporanea degli NDR potrebbe aiutarti in questa fase di troubleshooting.

    Ciao

    Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    • Contrassegnato come risposta Josef Knecht martedì 11 marzo 2014 10:01
    lunedì 3 marzo 2014 20:56
    Moderatore
  • Ciao Josef,

    Procedo a cambiare il tuo thread in discussione generale, mi pare che la discussione sia ancora in corso.

    Grazie di tenerci aggiornati sul tuo percorso,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    venerdì 7 marzo 2014 14:37
  • ho trovato l'IP, per ora il problema è rientrato, sto monitorando l'antispam con filter connection direttamente sul firewall, e sto utilizzando gli RBL che mi avete fornito, sono diversi giorni ormai che non ho più problemi anche se ho dovuto mettere molti domini in white list perchè ho molti falsi positivi.

    Grazie

    JK

    lunedì 10 marzo 2014 15:01
  • Ciao, puoi postare l'IP cosi da renderlo fruibile per altri controlli.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 10 marzo 2014 16:33
  • l'IP  è 82.127.39.248 ed è ben conosciuto dai server RBL. Proviene da Orange France

    Jk

    martedì 11 marzo 2014 07:09
  • Ti rimane una cosa da fare, marcare le risposte per chiudere il thread.

    Ciao e alla prossima

    Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 11 marzo 2014 09:04
    Moderatore