none
Exchange 2010 e Open Relay - Server na blacklist toda semana RRS feed

  • Pergunta

  • Ola a todos...

    Estou com um problemao no meu server.

    Toda semana ele ta listado em alguma blacklist da vida e acabei descobrindo pelo site http://www.checkor.com/ que me retornou as msg's abaixo

    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: test1@checkor.com
    550 5.7.1 Unable to relay

    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: test1@empresa.com.br
    **********Test Failed, 250 2.1.5 Recipient OK

    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: "test1@test.com"@empresa.com.br
    **********Test Failed, 250 2.1.5 Recipient OK

    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: @empresa.com.br:spamtest@checkor.com
    550 5.7.1 Unable to relay


    Aonde tem bastante asterisco é onde o servidor retornou a msg para qq pessoa externa.

    Lendo algumas coisas na net, acabei descobrindo que isso seria um problema de Relay Aberto.

    Umas das maneiras que encontrei para solucionar esse problema seria desmarcando no grupo de permissoes do meu conector de recebimento a opcao USUARIOS ANONIMOS...

    O problema é que...se eu desativar essa opcao ... ngn mais consegue enviar emails para a minha empresa...de qq provedor que seja @terra.com.br @uol.com.br etc etc

    Tentei executar a opcao no shell tbm:
    Get-ReceiveConnector "MEU CONECTOR"  | Remove-ADPermission -User "AUTORIDADE NT\LOGON ANÔNIMO" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"

    e sem sucesso

    Onde mais eu posso correr para sanar de vez esse problema ?

    sexta-feira, 5 de novembro de 2010 19:24

Respostas

  • A caracteristica de realy aberto é conseguir enviar mensagens atraves do teu servidor pra qualquer dominio externo  (ou seja gmail, hotmail, yahoo...) em nome de qualquer pessoa e qualquer domino sem necessidade de autenticação.

    Se isto não está acontecendo teu relay nao está aberto.


    Diego Wachholz - MCSA/MCTS - Microsoft Exchange Server 2007/2010 - Active Directory - Network Infrastructure
    • Marcado como Resposta magnored segunda-feira, 8 de novembro de 2010 16:32
    segunda-feira, 8 de novembro de 2010 16:19

Todas as Respostas

  • Tente o comando abaixo:

    Get-ReceiveConnector RelayConnector | Remove-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

    ou ainda você pode tentar o seguinte:

    Get-ReceiveConnector RelayConnector | Get-ADPermission

    Ps.: Não sei se o útilmo comando irá funcionar.

     

    Sds,


    Diego Wachholz - MCSA/MCTS - Microsoft Exchange Server 2007
    segunda-feira, 8 de novembro de 2010 12:50
  • Deu erro ao executar os comandos:

    [PS] C:\Windows\system32>Get-ReceiveConnector RelayConnector | Remove-ADPermission -User "AUTORIDADE NT\LOGON ANÔNIMO" -
    ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"
    Não foi possível executar a operação porque não foi possível encontrar o objeto 'SRV-DB1.empresa.intranet\RelayConnector' em 'SRV-DB1.empresa.intranet'.
        + CategoryInfo          : NotSpecified: (:) [Get-ReceiveConnector], ManagementObjectNotFoundException
        + FullyQualifiedErrorId : 515EE43,Microsoft.Exchange.Management.SystemConfigurationTasks.GetReceiveConnector

    [PS] C:\Windows\system32>Get-ReceiveConnector RelayConnector | Get-ADPermission
    Não foi possível executar a operação porque não foi possível encontrar o objeto 'SRV-DB1.empresa.intranet\RelayConnector' em 'SRV-DB1.empresa.intranet'.
        + CategoryInfo          : NotSpecified: (:) [Get-ReceiveConnector], ManagementObjectNotFoundException
        + FullyQualifiedErrorId : 515EE43,Microsoft.Exchange.Management.SystemConfigurationTasks.GetReceiveConnector

     

     

    Detalhe... precisei alterar o NT AUTHORITY\ANONYMOUS LOGON para AUTORIDADE NT\LOGON ANÔNIMO, pois meu exchange esta em pt-br

    segunda-feira, 8 de novembro de 2010 13:01
  • Substitua o "RelayConector" pelo nome do teu conector.

     

    Get-ReceiveConnector RelayConnector


    Diego Wachholz - MCSA/MCTS - Microsoft Exchange Server 2007
    segunda-feira, 8 de novembro de 2010 13:10
  • Perdao cara....nao tinha notado...
    Mas mesmo assim...agora ele aparece as msg's abaixo:

    [PS] C:\Windows\system32>Get-ReceiveConnector "Client SRV-DB1" | Remove-ADPermission -User "AUTORIDADE NT\LOGON ANÔNIMO"
     -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"

    Confirmar
    Tem certeza de que deseja realizar esta ação?
    Removendo Permissão do Active Directory "SRV-DB1\Client SRV-DB1" para usuário "AUTORIDADE NT\LOGON ANÔNIMO" com
    direitos de acesso "'ms-Exch-SMTP-Accept-Any-Recipient'".
    [S] Sim  [A] Sim para Todos  [N] Não  [T] Não para Todos  [?] Ajuda (o padrão é "S"): s
    Não é possível remover o ACE no objeto "CN=Client SRV-DB1,CN=SMTP Receive Connectors,CN=Protocols,CN=SRV-DB1,CN=Servers
    ,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=empresa,CN=Microsoft Exchange,CN=Servic
    es,CN=Configuration,DC=empresa,DC=intranet" para o atributo "ExtendedRight (ObjectType: 5c82f031-4e4c-4326-88e1-8c4f0ca
    d9de5)", porque ele não existe.
        + CategoryInfo          : InvalidOperation: (0:Int32) [Remove-ADPermission], InvalidOperationException
        + FullyQualifiedErrorId : 78F2D023,Microsoft.Exchange.Management.RecipientTasks.RemoveADPermission

    [PS] C:\Windows\system32>Get-ReceiveConnector "Default SRV-DB1" | Remove-ADPermission -User "AUTORIDADE NT\LOGON ANÔNIMO
    " -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"

    Confirmar
    Tem certeza de que deseja realizar esta ação?
    Removendo Permissão do Active Directory "SRV-DB1\Default SRV-DB1" para usuário "AUTORIDADE NT\LOGON ANÔNIMO" com
    direitos de acesso "'ms-Exch-SMTP-Accept-Any-Recipient'".
    [S] Sim  [A] Sim para Todos  [N] Não  [T] Não para Todos  [?] Ajuda (o padrão é "S"): s
    Não é possível remover o ACE no objeto "CN=Default SRV-DB1,CN=SMTP Receive Connectors,CN=Protocols,CN=SRV-DB1,CN=Server
    s,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=empresa,CN=Microsoft Exchange,CN=Servi
    ces,CN=Configuration,DC=empresa,DC=intranet" para o atributo "ExtendedRight (ObjectType: 5c82f031-4e4c-4326-88e1-8c4f0c
    ad9de5)", porque ele não existe.
        + CategoryInfo          : InvalidOperation: (0:Int32) [Remove-ADPermission], InvalidOperationException
        + FullyQualifiedErrorId : 78F2D023,Microsoft.Exchange.Management.RecipientTasks.RemoveADPermission



    Eu acredito que o Usuario anonimo nao esteja nesse grupo... pq eu fiz um teste de tentar adicionar ele ... e depois remove-lo... ai nao apareceu a msg

    segunda-feira, 8 de novembro de 2010 13:15
  • Você com certeza possui dois receive Connectors no teu Exchange, aparentemente vc testou com o connector Client, valide o outro connector.

     

    Saudações,


    Diego Wachholz - MCSA/MCTS - Microsoft Exchange Server 2007/2010 - Active Directory - Network Infrastructure
    segunda-feira, 8 de novembro de 2010 15:40
  • sim...eu testei com os dois...
    olhe melhor o topico

    Removendo Permissão do Active Directory "SRV-DB1\Client SRV-DB1 " para usuário "AUTORIDADE NT\LOGON ANÔNIMO" com direitos de acesso "'ms-Exch-SMTP-Accept-Any-Recipient'".

     

    Removendo Permissão do Active Directory "SRV-DB1\Default SRV-DB1 " para usuário "AUTORIDADE NT\LOGON ANÔNIMO" com direitos de acesso "'ms-Exch-SMTP-Accept-Any-Recipient'".

    segunda-feira, 8 de novembro de 2010 15:56
  • Bem, pelo viso o usuário anônimo nao tem permissão de Relay. Chegasse a efetuar o teste manualmente via telnet? O fato da blacklist pode ter haver com DNS Reverso, ou ainda algum outro problema.
    Diego Wachholz - MCSA/MCTS - Microsoft Exchange Server 2007/2010 - Active Directory - Network Infrastructure
    segunda-feira, 8 de novembro de 2010 15:59
  • Por telnet eu nao fiz o teste, somente pelo

    site do CHECKOR.

    Um detalhe interessante que encontrei na checagem é o seguinte:

    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: test1@checkor.com
    550 5.7.1 Unable to relay


    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: test1@empresa.com.br
    Test Failed, 250 2.1.5 Recipient OK


    RSET
    250 2.0.0 Resetting
    MAIL FROM: spam@empresa.com.br
    250 2.1.0 Sender OK
    RCPT TO: "test1@test.com"@empresa.com.br
    Test Failed, 250 2.1.5 Recipient OK

    Se o spammer tentar enviar o link como xxx@outraempresa.com.br ele nao consegue...
    se ele tentar enviar como xxx@empresa.com.br (que no caso é a minha) ele consegue enviar normalmente.

    Isso é caracteristico do relay aberto ?

    Se sim, entao poderia ser algo com o DNS Reverso como vc disse, onde que eu posso fazer os testes ?

    segunda-feira, 8 de novembro de 2010 16:14
  • A caracteristica de realy aberto é conseguir enviar mensagens atraves do teu servidor pra qualquer dominio externo  (ou seja gmail, hotmail, yahoo...) em nome de qualquer pessoa e qualquer domino sem necessidade de autenticação.

    Se isto não está acontecendo teu relay nao está aberto.


    Diego Wachholz - MCSA/MCTS - Microsoft Exchange Server 2007/2010 - Active Directory - Network Infrastructure
    • Marcado como Resposta magnored segunda-feira, 8 de novembro de 2010 16:32
    segunda-feira, 8 de novembro de 2010 16:19
  • Entendi Diego...

    Vou verificar melhor o que pode estar ocorrendo ... nao posso descartar a possibilidade de algum micro daqui de dentro tbm estar causando este problema.

    Fiz o teste do relay no site dnsgoodies e nele constou que eu nao tenho nenhum relay aberto.

    Vou verificar melhor a questao.


    Muito obrigado pela ajuda
    segunda-feira, 8 de novembro de 2010 16:33