none
Identificar SPAM vindo da rede interna RRS feed

  • Pergunta

  • Quando visualizo a fila do Exchange existem várias sub-filas cada uma com uma média de 2000 mensagens com status de Retry, cada fila aponta para um endereço do Yahoo só que de um país diferente, exemplo: yahoo.tw, yahoo.da, yahoo.tk, etc. São aproximadamente umas 15 filas com 2000 mensagens cada fila, então imaginem como está o processamento e consumo de memória do serviço de transporte do Exchange neste servidor.

    Quando abro uma mensagem de qualquer destas filas, é exibido algo como:
    Identity: mailserver01\id da fila
    Subject: 
    Internet Message ID: <d0aa8b5e-c569-4eb5-8f48-fee1ca4a8537>
    From Address: <>
    Status: Retry
    Size (KB): 4
    Message Source Name: DSN
    Source IP: 255.255.255.255
    SCL: -1
    Date Received: 01/07/2009 23:42:31 PM
    Expiration Time: 02/07/2009 23:42:31 PM
    Last Error: Retry
    Queue ID: mailserver01\id da fila

    Tento identificar alguma coisa pelo message tracking usando ID da mensagem, horário, e outros campos mas nada é encontrado.

    Isso está acabando com a performance do meu servidor de correio, e não consigo identificar quem está gerando esse volume de e-mails, acredito que seja algum malware em uma das estações da rede interna, mas não tenho idéia de como identificá-la. Meu servidor possui apenas os conectores de envio e recebimento padrões e não tem nenhum conector configurado ou aberto para relay, então acredito que esse malware esteja usando a autenticação do usuário logado na(s) estação(ões).

    Sei que pelos agentes de ANTI-SPAM consigo impedir esse tráfego, mas gostaria de identificar qual a estação responsável por ele para poder agir sobre a causa raiz do problema.

    []´s


    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    quinta-feira, 2 de julho de 2009 14:28

Respostas

  • Ola Rafael,

    Neste caso nao é Exchange e sim política de segurança interna.  Voce obrigatoriamente tem que permitir somente exchange para sair pela 25 da tua rede, fora isso, configure teu registro SenderID para dizer que somente e-mail vindo do IP do exchange e valido, se o cara do outro lado estiver SenderID compliance, ele vai entender que pode ser uma maquina infectada tua. (Desta forma tua habilita duas linhas de protecao de ir para uma black list sem ser por culpa do exchange).


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    terça-feira, 7 de julho de 2009 13:53
  • Ola Danny,

    Primeira coisa a se fazer é bloquear smtp 25 internamente e relay. Depois olhar o message header da mensagem e verificar de onde está vindo, fora isso message tracking pode te ajudar.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    terça-feira, 4 de agosto de 2009 16:25

Todas as Respostas

  • Ola Rafael,

    Acho melhor vc matar o mal pela raiz, habiltia connection filtering e IP block sender list, usa uma lista comum tipo zen.spamhaus.org que vai te ajudar.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    quinta-feira, 2 de julho de 2009 14:51
  • Anderson, eu acho que o tráfego vem da minha rede interna, e sai para a rede externa, entendeu? Como se meu servidor estivesse sendo usado como relay para envio de SPAM, mas meu conector não está com relay aberto.

    Preciso identificar qual estação da minha rede interna está gerando este tráfego.


    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    quinta-feira, 2 de julho de 2009 14:53
  • Bloqueia o protocolo SMTP no Firewall para todos da rede, com exeção do Exchange,
    Isto pode ajudar, e vai previnir você de entrar em Blacklists.


    Bruno Kinoshita
    terça-feira, 7 de julho de 2009 13:41
  • Ola Rafael,

    Neste caso nao é Exchange e sim política de segurança interna.  Voce obrigatoriamente tem que permitir somente exchange para sair pela 25 da tua rede, fora isso, configure teu registro SenderID para dizer que somente e-mail vindo do IP do exchange e valido, se o cara do outro lado estiver SenderID compliance, ele vai entender que pode ser uma maquina infectada tua. (Desta forma tua habilita duas linhas de protecao de ir para uma black list sem ser por culpa do exchange).


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    terça-feira, 7 de julho de 2009 13:53
  • Bruno
    Já está dessa forma.
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    terça-feira, 7 de julho de 2009 17:11
  • A liberação já está para o exchange sair pela porta 25. Os filtros também estão habilitados, inclusive sender id.
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    terça-feira, 7 de julho de 2009 17:11
  • Rafael,

    Estou tendo o mesmo problema que vc!!! por acaso conseguiu solucionar ai??

    Se puder me passe o caminho das pedras!!

    Valeu
    terça-feira, 4 de agosto de 2009 15:03
  • Danny Luis

    Não consegui identificar a máquina ou máquinas que estavam gerando isso, tive que fazer um trabalho de formiguinha e garantir que o anti-vírus, neste caso o ForeFront, estava instalado em TODAS as estações da rede interna. Depois, pela console de gerenciamento passei um SCAN full na rede no final de semana, encontrou algumas coisas em várias máquinas, mandei limpar todas e depois disso o ambiente normalizou. Também reconfigurei os filtros de ANTI-SPAM na console do Exchange, incluindo mais algumas black-lists.

    []´s
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    terça-feira, 4 de agosto de 2009 15:11
  • Ola Danny,

    Primeira coisa a se fazer é bloquear smtp 25 internamente e relay. Depois olhar o message header da mensagem e verificar de onde está vindo, fora isso message tracking pode te ajudar.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    terça-feira, 4 de agosto de 2009 16:25
  • Senhores,

    Estou utilizando o Exchange 2007, sendo assim, não está permitindo Relay e quando eu crio uma regra no Firewall do Windows (Servidor Exchange 2007) bloqueando a porta 25 ele bloqueia tudo, inclusive as mensagens que devem chegar....
    O que eu percebi que essas mensagens que saem do meu Exchange como "From Address: <>" "Message Source Name: DSN
    Source IP: 255.255.255.255" isso está vindo da Internet, pois desliguei meu Link para testar e essas mensagens só voltaram a aprecer no Queues do Exchange quando o link subiu!

    Já verifiquei algumas regas no meu ISA 2006, mas não consigo parar essa praga!!!

    Abraços!!!
    quinta-feira, 6 de agosto de 2009 18:32
  • Ola DAnny,

    Fazendo uma analogia, tu casa tem uma porta, tu fecha a porta logo ningume mais entra. A autenticacao pergunta para o cara que tá chegando se ele tem credencial, se nao tiver ele nao entra mas a porta tem que estar aberta.


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    quinta-feira, 6 de agosto de 2009 18:44
  • No teu caso, onde as mensagens estão vindo da Internet, basta configurar os filtros de anti-spam conforme as dicas do Anderson nesse mesmo post.
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    quinta-feira, 6 de agosto de 2009 18:45
  • Boa tarde Srs.(a),

    Então...até o momento não consegui solucionar esse problema, consegui diminuir através do Isa... fiz alguns filtros!!

    Uma forma tbm foi cadastrar na Black list do Exch2007, mas esse cadastro excedeu o limite.... veja o post que eu abri referente a isso: http://social.technet.microsoft.com/Forums/pt-BR/exc2007pt/thread/4e9610a0-7b40-4634-8368-1ee1aeccd01e

    Se alguem tiver idéia do caminhos das pedras me dê um alô, please!!!

    Valeu galera!!

    Abraço
    segunda-feira, 30 de novembro de 2009 16:29
  • Olá Rafael!

    Pelo Queue Viewer do seu Exchange, muito provavelmente esse tráfego está sendo gerado por algum Malware em suas estações de trabalho.

    Algumas sugestões que eu posso te dar:

    1 - Tente implementar IPSec nas estações e no Server somente para o tráfego de E-mail (Em uma porta não-padrão... Por exemplo 449 - Utilizando Kerberos ou Pre-Shared Key), e configure seu Receive Connector da "REDE INTERNA" para usar a porta utilizada na diretiva IPSec ... Pois muitos Emails-Malwares são desenvolvidos para utilizas as portas padrões (25, 587);

    2 - Ainda na configuração do Receive connector Interno, libere somente a Range de IP da rede interna para envio de E-mails para o Exchange;

    2 - Nas configurações do Outlook (seja MAPI, IMAP4), configure para sempre exigir autenticação do usuário;

    4 - Libere somente o Exchange para sair pela porta 25 no seu Firewall... 

    5 - E antivírus... Sempre atualizado nas máquinas =)

    Documente estes procedimentos, para facilitar manutenções futuras.


    Daniel Silva Matozinhos

    domingo, 3 de junho de 2012 15:20