locked
e-mail enviado para o próprio destinatário. RRS feed

  • Pergunta

  • Prezados amigos estou com um problema chatinho 2 usuários em diferentes empresas os dois ambientes usamos exchange server 2003 protocolo MAPI, estão infectadas com algum tipo de vírus que manda e-mail para ele mesmo e já fiz vários procedimentos e não obtive suceeso, estou quase formatando o PC.

    Será que alguém já teve esse problema que possa me dar uma luz?

    quinta-feira, 4 de dezembro de 2008 20:05

Respostas

  •  Le Ribeiro wrote:

    Olá Pessoal!

     

    Aqui na empresa está acontecendo o que foi citado pelo Lucas.

     

    Alguns usuários estão recebendo spam de seus próprios e-mails.

     

    A maioria oferece medicamentos e chegam com os seguintes assuntos:

    "Your order"

    "Re: Order status"

    "RE: Message"

    "Delivery Status Notification"

     

    Não consigo saber de onde estão vindo. O cabeçalho de internet da maioria se parece com isso:

     

    Microsoft Mail Internet Headers Version 2.0
    Received: from mail pickup service by meudominio.com.br with Microsoft SMTPSVC; Sun, 14 Dec 2008 10:15:46 -0200
    thread-index: Acld5bFbesLux9VFR0+5XMXcO4m3kw==
    Cc:
    Bcc:
    Return-Path: <usuario1@meudominio.com.br>
    To: <usuario1@meudominio.com.br>
    Subject: Your order
    Message-ID: <0A250D78B8054B87BE63F24884A34C81@MEUDOMINIO.COM.BR>
    Content-Transfer-Encoding: 7bit
    From: <usuario1@meudominio.com.br>
    MIME-Version: 1.0
    X-Mailer: Microsoft CDO for Exchange 2000
    Importance: High
    Content-Type: text/html;
     charset="iso-8859-1"
    Content-Class: urn:content-classes:message
    Date: Sun, 14 Dec 2008 10:15:46 -0200
    Priority: normal
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4325
    X-OriginalArrivalTime: 14 Dec 2008 12:15:46.0328 (UTC) FILETIME=[B17AD180:01C95DE5]
    X-TM-AS-Product-Ver: SMEX-8.1.0.1092-5.500.1027-16338.007
    X-TM-AS-Result: No-56.598800-0.000000-31
    X-TM-AS-User-Approved-Sender: Yes
    X-TM-AS-User-Blocked-Sender: No

     

    Usamos Exchange 2003

    Nossos NS estão com SPF registrado.

    Usamos uma solução Antivírus/Antispam da Trend

     

    Alguém pode me ajudar?

     

     

     

    Obrigado!

    Leandro Ribeiro

     

     

     

     

    Resolvi o problema da seguinte maneira: Eu acho que não é a melhor prática mas pelo menos o diretor que foi o alvo não está mais no meu pé.

    1º Eu reparei que no traking o sender era o e-mail completo exemplo: fulano@domínio.com.br geralmente quando é do próprio usuário ao invés de aparecer o e-mail completo aparece o nome de exibição que é configurado na acount.

    Visto isso fui no sender filtering adicionei o e-mail lá fulano@meudomínio.com.br e tá lá.

    Abraços

    terça-feira, 16 de dezembro de 2008 13:44

Todas as Respostas

  • Primeiramente valide essa questão de vírus efetuando uma varredura no host;

     

    Posteriormente, se houver infecções, revalide o perfil do Outlook;

     

    E somente depois, se não surtir efeito, revalide o perfil do Windows;

     

    Se, depois de trabalhar em nível de usuário, não houver solução, ai você começa a validar questões de sistema.

     

    Obviamente que após a verredura com o anti-vírus, você terá um caminho a seguir, dependendo dos diretorios infectados.

     

    Acredito que não seja problema do Exchange em si.

     

    Faça os testes e poste os resultados.

     

    quinta-feira, 4 de dezembro de 2008 20:54
  • Ola Flavio,

    Junto com a dica do Deivid, se você já identificou os usuários, resolve o problema por lá para evitar maiores problemas no teu ambiente. E como não é relacionado a Exchange, se tiver mais dúvidas posta no fórum de Segurança ou Desktop ok.

    Abs.
    sexta-feira, 5 de dezembro de 2008 00:46
  • Flávio, dê uma olhada no cabeçalho da mensagem e veja se ela realmente da vindo das maquinas internas.

    Digo isso porque trabalhamos com uma solução Antispam e temos percebido em nossos clientes uma quantidade enorme de Spams ultimamente que estão enviando emails com o remetente igual o destinatário.


    sexta-feira, 5 de dezembro de 2008 12:02
  • cara muito obrigado eu já estava até indo lá checar isso.

    segunda-feira, 8 de dezembro de 2008 19:00
  • Olá Pessoal!

     

    Aqui na empresa está acontecendo o que foi citado pelo Lucas.

     

    Alguns usuários estão recebendo spam de seus próprios e-mails.

     

    A maioria oferece medicamentos e chegam com os seguintes assuntos:

    "Your order"

    "Re: Order status"

    "RE: Message"

    "Delivery Status Notification"

     

    Não consigo saber de onde estão vindo. O cabeçalho de internet da maioria se parece com isso:

     

    Microsoft Mail Internet Headers Version 2.0
    Received: from mail pickup service by meudominio.com.br with Microsoft SMTPSVC; Sun, 14 Dec 2008 10:15:46 -0200
    thread-index: Acld5bFbesLux9VFR0+5XMXcO4m3kw==
    Cc:
    Bcc:
    Return-Path: <usuario1@meudominio.com.br>
    To: <usuario1@meudominio.com.br>
    Subject: Your order
    Message-ID: <0A250D78B8054B87BE63F24884A34C81@MEUDOMINIO.COM.BR>
    Content-Transfer-Encoding: 7bit
    From: <usuario1@meudominio.com.br>
    MIME-Version: 1.0
    X-Mailer: Microsoft CDO for Exchange 2000
    Importance: High
    Content-Type: text/html;
     charset="iso-8859-1"
    Content-Class: urn:content-classes:message
    Date: Sun, 14 Dec 2008 10:15:46 -0200
    Priority: normal
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4325
    X-OriginalArrivalTime: 14 Dec 2008 12:15:46.0328 (UTC) FILETIME=[B17AD180:01C95DE5]
    X-TM-AS-Product-Ver: SMEX-8.1.0.1092-5.500.1027-16338.007
    X-TM-AS-Result: No-56.598800-0.000000-31
    X-TM-AS-User-Approved-Sender: Yes
    X-TM-AS-User-Blocked-Sender: No

     

    Usamos Exchange 2003

    Nossos NS estão com SPF registrado.

    Usamos uma solução Antivírus/Antispam da Trend

     

    Alguém pode me ajudar?

     

     

     

    Obrigado!

    Leandro Ribeiro

     

     

     

    terça-feira, 16 de dezembro de 2008 12:23
  • Leandro, você deve olhar o cabeçalho no outlook que recebeu, se a pessoa que recebeu lhe der um forward da mensagem, o protocolo MAPI irá retirar os cabeçalhos SMTP.

    Olhe também no message tracking do exchange para confirmar se ela veio de fora mesmo, e verifique o porque de seu Antispam não ter bloqueado, pois deveria, verifique se ele está atualizado.

    Abraços
    terça-feira, 16 de dezembro de 2008 13:10
  •  Le Ribeiro wrote:

    Olá Pessoal!

     

    Aqui na empresa está acontecendo o que foi citado pelo Lucas.

     

    Alguns usuários estão recebendo spam de seus próprios e-mails.

     

    A maioria oferece medicamentos e chegam com os seguintes assuntos:

    "Your order"

    "Re: Order status"

    "RE: Message"

    "Delivery Status Notification"

     

    Não consigo saber de onde estão vindo. O cabeçalho de internet da maioria se parece com isso:

     

    Microsoft Mail Internet Headers Version 2.0
    Received: from mail pickup service by meudominio.com.br with Microsoft SMTPSVC; Sun, 14 Dec 2008 10:15:46 -0200
    thread-index: Acld5bFbesLux9VFR0+5XMXcO4m3kw==
    Cc:
    Bcc:
    Return-Path: <usuario1@meudominio.com.br>
    To: <usuario1@meudominio.com.br>
    Subject: Your order
    Message-ID: <0A250D78B8054B87BE63F24884A34C81@MEUDOMINIO.COM.BR>
    Content-Transfer-Encoding: 7bit
    From: <usuario1@meudominio.com.br>
    MIME-Version: 1.0
    X-Mailer: Microsoft CDO for Exchange 2000
    Importance: High
    Content-Type: text/html;
     charset="iso-8859-1"
    Content-Class: urn:content-classes:message
    Date: Sun, 14 Dec 2008 10:15:46 -0200
    Priority: normal
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4325
    X-OriginalArrivalTime: 14 Dec 2008 12:15:46.0328 (UTC) FILETIME=[B17AD180:01C95DE5]
    X-TM-AS-Product-Ver: SMEX-8.1.0.1092-5.500.1027-16338.007
    X-TM-AS-Result: No-56.598800-0.000000-31
    X-TM-AS-User-Approved-Sender: Yes
    X-TM-AS-User-Blocked-Sender: No

     

    Usamos Exchange 2003

    Nossos NS estão com SPF registrado.

    Usamos uma solução Antivírus/Antispam da Trend

     

    Alguém pode me ajudar?

     

     

     

    Obrigado!

    Leandro Ribeiro

     

     

     

     

    Resolvi o problema da seguinte maneira: Eu acho que não é a melhor prática mas pelo menos o diretor que foi o alvo não está mais no meu pé.

    1º Eu reparei que no traking o sender era o e-mail completo exemplo: fulano@domínio.com.br geralmente quando é do próprio usuário ao invés de aparecer o e-mail completo aparece o nome de exibição que é configurado na acount.

    Visto isso fui no sender filtering adicionei o e-mail lá fulano@meudomínio.com.br e tá lá.

    Abraços

    terça-feira, 16 de dezembro de 2008 13:44
  • Lucas,

     

    O cabeçalho que mostrei é do outlook que recebeu originalmente, mas quando encaminho para outro endereço, o cabeçalho fica vazio.

     

    No Message Tracking do Exchange 2003, consta como sendo uma mensagem externa, apesar de enviada de um endereço do meu domínio:

    ------------------------------------------------------------------------------------------

    From:                 usuario1@meudominio.com.br

    To:                     usuario1@meudonimio.com.br
    Subject:              Your order
    Message ID:        0A250D78B8054B87BE63F24884A34C81@MEUDOMINIO.COM.BR
    Location:             servidor.MEUDOMINIO.COM.BR

     

    Event Time                    Event
    14/12/2008 10:15           SMTP: Message Submitted to Advanced Queuing
    14/12/2008 10:15           SMTP: Started Message Submission Advanced Queue
    14/12/2008 10:15           SMTP: Message Submitted to Categorizer
    14/12/2008 10:15           SMTP: Message Categorized and Queued for Routing
    14/12/2008 10:15           SMTP: Message Queued for Local Delivery
    14/12/2008 10:15           SMTP: Message Delivered Locally to usuario1@meudominio.com.br
    14/12/2008 10:15           SMTP Store Driver: Message Delivered Locally to Store to usuario1@meudominio.com.br

    ------------------------------------------------------------------------------------------

    Se fosse interna, o 1º evento seria o abaixo, correto?

    00/00/0000 00:00        SMTP Store Driver: Message Submitted from Store

     

    Meu antispam está atualizado e barra praticamente todos os spams, com exceção desses casos que são enviados pelo próprio destinatário que começaram no meio de novembro.

     

    O Exchange 2003 usa como Smart Host um IP fornecido pelo nosso ISP.

     

     

    Obrigado!

     

     

    Abraços,

    Leandro Ribeiro

     

     

    terça-feira, 16 de dezembro de 2008 14:14
  •  Flávio Henique wrote:

    Resolvi o problema da seguinte maneira: Eu acho que não é a melhor prática mas pelo menos o diretor que foi o alvo não está mais no meu pé.

    1º Eu reparei que no traking o sender era o e-mail completo exemplo: fulano@domínio.com.br geralmente quando é do próprio usuário ao invés de aparecer o e-mail completo aparece o nome de exibição que é configurado na acount.

    Visto isso fui no sender filtering adicionei o e-mail lá fulano@meudomínio.com.br e tá lá.

    Abraços

     

    No meu caso, tanto para esses spams quanto para outras mensagens internas ou externas, as vezes aparece o Nome de Exibição e as vezes o e-mail.

     

    Se eu fizer isso, posso fazer com que alguns usuários que usam dispositivos móveis, deixem de receber as próprias mensagens que automaticamente encaminham uma cópia para o próprio usuário.

     

     

     

    Abraço,

    Leandro Ribeiro

    terça-feira, 16 de dezembro de 2008 14:25