locked
Teste de segurança no Exchange 2003 RRS feed

  • Pergunta

  •  

    Bom dia,

     

        Estou com um problemão, alguém pode me ajudar ????

     

     

                Tenho aqui na Empresa um servidor com Exchange 2003 e de uma hora para outra, os usuarios não conseguem mais enviar e-mails para muitos dominios como IBM, entre outros, o erro retornado é que estamos em blacklists nivel 3. Dei uma olhada nas blacklists pelos links

     

    http://abuse.virtua.com.br/  BLACKLIST
    http://tools.web-max.ca/dsbl.php  BLACKLIST
    http://mxtoolbox.com/blacklists.aspx BLACKLIST e-mail

     

    E estamos mesmo com nivel 3 no ultimo link. Por abuso de envio de mais de 1000 e-mails.

     

    Quando fui olhar no exchange em QUEUES onde ficam as mensagens que estão para envio vi que tem alguns e-mails muito estranhos como se meu servidor fosse um ZIMBI para envio de spans. Mensagem que ninguém enviou mas estão lá para saida.

     

    Pergunto a vocês como posso descobrir se tem alguns invasor instalado no servidor e como fasso para normalizar isso??

     

     

    Alguém pode me ajudar, alguma dica ??

     

     

    segunda-feira, 10 de novembro de 2008 12:31

Respostas

  • André, isso não significa q foi positivo, o site não conseguiu testar seu servidor pois não conseguiu conectar.

    Como eu disse, é normal a porta 25 ficar acessível para todos, não se preocupe com isso, o que não pode é usar seu servidor para enviar emails para outros domínios, e isso o seu servidor deve bloquear, vc deve testar assim:

    De sua casa, de o telnet IPDOSERVIDOR 25

    helo dominio.com.br
    mail from: fulano@fulano.com
    rcpt to:ciclano@outro_dominio_que_nao_seja_o_seu.com.br (sugiro usar um seu do hotmail ou gmail)
    data
    Teste
    . (colocar o ponto, significa o fim da mensagem)

    Fazendo este teste a a msg chegando no Gmail, significa q seu relay está aberto.

    Abraço
    quinta-feira, 13 de novembro de 2008 20:03
  • Lucas,

     

    Fiz o teste acima em outra rede acessando meu servidor de email e consegui verificar que o relay esta aberto.

     

    Como posso fechar ele?

    sexta-feira, 26 de março de 2010 14:14

Todas as Respostas

  • Ola André almeida,

     

    Causas mais comuns:

     

    Tu está com o relay aberto, ou vc permite que os clientes internos utilizem a porta 25 para envio de e-mail externo.

     

    segunda-feira, 10 de novembro de 2008 14:42
  • Então,

     

       Tenho dois servidores com exchange 2003 um é espelho do outro, em ambos fui em System Manager / Administrative Groups / Escolhi o servidor / protocol / smtp / Default SMTP Virtual Server click com botão direito / properties / Access / Relay Restrictions / Relay / lá esta configurado Only the list below (esta ticado), porem não ha valor algum no campo para colocar os computers, e lá embaixo em Allow all computers which sucessfully authenticate to relay, regardlless on the list above também esta ticado.

       Fiz um teste com telnet e consegui me conectar (estou local).

       

       Os usuarios usam o e-mail configurado no outlook 2007, onde o endereço de e-mail é usuario@dominio.com.br e podem enviar e-mails para fora também assim como acessar por WEBMAIL.

     

        Tenho a mer@#$% do trindmicro serv/client e ele também não pega os spans. Quando vou no Queues do servidor que esta como principal tem sempre dominios como...

     

    braventos.com / gladevents.com.br / vbnet.com / computerworld.com entre outros. A messes atras tive problemas com isso e saiam 879 mensagens de SPAM em 3 dias, hoje sempre tem de 1 à 10 emails desses dominios e não sei como tirar isso.

     

     

    Alguém pode me dar mais dicas de como normalizar isso?

     

     

     

    Cordialmente,

    André Almeida

    terça-feira, 11 de novembro de 2008 16:50
  •  

    Me parece q sua configuração do exchane está ok em relação ao relay, mas se o trend fica na frente do exchange, ele pode estar com alguma configuração de relay aberto.

     

    Tenta fazer uma conexão telnet no seu ip externo e enviar um email para algum email pessoal seu, teoricamente ele deveria bloquear, pois isto é relay.

     

    Ps: Ele deve bloquear no nivel de SMTP, ou seja, na conexão telnet deve vir algo do tipo: Relay Access Denied.

    terça-feira, 11 de novembro de 2008 18:30
  • Então,

     

       Fiz o teste em minha casa e consegui mandar uma mensagem. Dei um open IP 25 e na hora conectou!! O que posso fazer ? Se eu bloquear a porta 25 como chagada no servidor exchange não recebo mais e-mails, não é ?

     

     

     

    Att,

    André Almeida

     

    quinta-feira, 13 de novembro de 2008 18:01
  • André, a questão não é conectar, todo mundo pode conectar na porta 25 de qualquer servidor, caso o contrário não haveriam e-mails circulando.

    A questão é :

    Se sua empresa chama xyz.com.br , a pessoa que conectar ao seu servidor só poderá enviar e-mails para o domínio xyz.com.br , se ela conecta no seu servidor e manda um email para 123.com.br, ela está usando seu servidor como uma ponte para enviar emails para outros domínios, e isso configura o Relay Aberto, citado pelo Anderson.


    Faça um teste com seu ip em http://www.mxtoolbox.com/diagnostic.aspx e veja se aparece como Relay Aberto.



    quinta-feira, 13 de novembro de 2008 18:09
  • Olha só,

     

        Fiz o teste lá e o retorno foi "positivo"

     

     A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond

     

    Mas continua um monte de mensagens que são spam no queues.

     

     Outra coisa,

     

     Fora daqui em casa eu consegui acessar por telnet a porta 25 do ip daqui!!!!

     

        Será que não tem outro bugs por traz ?

    quinta-feira, 13 de novembro de 2008 19:31
  • André, isso não significa q foi positivo, o site não conseguiu testar seu servidor pois não conseguiu conectar.

    Como eu disse, é normal a porta 25 ficar acessível para todos, não se preocupe com isso, o que não pode é usar seu servidor para enviar emails para outros domínios, e isso o seu servidor deve bloquear, vc deve testar assim:

    De sua casa, de o telnet IPDOSERVIDOR 25

    helo dominio.com.br
    mail from: fulano@fulano.com
    rcpt to:ciclano@outro_dominio_que_nao_seja_o_seu.com.br (sugiro usar um seu do hotmail ou gmail)
    data
    Teste
    . (colocar o ponto, significa o fim da mensagem)

    Fazendo este teste a a msg chegando no Gmail, significa q seu relay está aberto.

    Abraço
    quinta-feira, 13 de novembro de 2008 20:03
  • Lucas,

     

    Fiz o teste acima em outra rede acessando meu servidor de email e consegui verificar que o relay esta aberto.

     

    Como posso fechar ele?

    sexta-feira, 26 de março de 2010 14:14