none
smtp аутентификация RRS feed

  • Вопрос

  • Добрый день.

    Exchange Server 2016 Std CU20.

    От имени моего сервера кто-то постоянно спамит.

    Spamhouse постоянно лочит мой почтовый сервер.

    Устройство (компьютер, сервер, мобильный телефон и т. Д.) Или приложение на устройстве, использующем ваш IP-адрес, заражено, небезопасно или взломано. Он устанавливает SMTP-соединения с поддельными значениями HELO на порту 25.

    На устройстве, использующем ваш IP-адрес, установлен прокси-сервер для прямой рассылки спама в Интернет через порт 25. Это чаще всего встречается на мобильных телефонах на базе Android, потоковых устройствах, умных дверных звонках и т. Д .; и мы также иногда видим это на устройствах Windows. Подумайте о последствиях использования прокси-сервера в вашей сети, который запускает SMTP-реле без вашего ведома: Spamhaus видит исходящий от него спам, но прокси-серверы могут использоваться для всех видов вредоносных действий, и они находятся внутри вашего брандмауэра .

    Если у вас есть собственный почтовый сервер: это НЕ ваш почтовый сервер!

    Наблюдаемое значение подделки HELO составляло r7K1jrx5G.qdcudhi.72G0r76MQy9D9X0JПоследнее обнаружение произошло: 30 марта 2021 года, 16:04 (часовой пояс UTC, +/- 1 минута).

    и дальше они предлагают сделать следующее:

    Мы настоятельно рекомендуем обеспечить безопасность вашего маршрутизатора / брандмауэра, чтобы запретить любые исходящие пакеты на порт 25, кроме тех, которые приходят с любых почтовых серверов (если таковые имеются) в вашей локальной сети. Удаленная отправка электронной почты на серверы в Интернете будет по-прежнему работать, если она выполняется через Интернет или правильно настроена с использованием порта 587 с SMTP-AUTH.

    на роутере у меня давно настроен выход в инет по 25 порту только с почтового сервера.

    а вот что значит правильно настроить 587 порт с SMTP-AUTH ума не приложу. Это в соединителях получения надо смотреть?

    Помогите пожалуйста разобраться с этим!!!

    31 марта 2021 г. 14:25

Все ответы

  • 587 порт оставье в покое: его прослушивает Exchange, а у вас шлет не Exchange.

    Если у вас на Exchange реальный IP - ищите постороннюю программу на нем (антивирус и т.д.), можете попробовать выловить (например netstat -b)  какая программа открывает соединения на 25 порт.

    Если у вас реальный IP установлен не на Exchange, то начинайте поиск с того сетевого устройства, на котором он установлен.


    Слава России!

    31 марта 2021 г. 15:15
  • блин!! увидел на рабочем столе EXCHANGE текстовый файлик.

    А в нем вот это:

    We are Black KingDom Hackers
    We hacked your (( Network )), and now all files, documents, images is Upload in our servers.
    If you want to delete your files from us, you can do this step:    
        - send the following amount of US dollars ( 10,000 ) worth of bitcoin: 1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT
        - Connect with us support_blackkingdom2@protonmail.com
    The consequences of not paying within two days are very dire. Your files will be displayed for sale on our Darknet website.

    на серваке никаких посторонних программ не увидел.

    ip стоит на роутере. запустил на нем захват пакетов по 25 порту.

    31 марта 2021 г. 15:20
  • как они подделывают значение HELO?!
    31 марта 2021 г. 15:33
  • Вы можете подделать его сами, telnet'ом: установите из компонентов клиент telnet, если его у вас нет. Потом запустите команду telnet целевой.сервер 25 . Затем дождитесь баннера SMTP и наберите команду HELO что-вам-нравится (чтобы увидеть, что вы набираете, надо включить эхо).  Мораль сей басни такова: HELO пишет программа, установившая связь с другим сервером, и пишет она там то, что хочет. Этой программой может быть служба транспорта вашего сервера Exchange - а может и не быть.


    Слава России!

    1 апреля 2021 г. 0:05
  • Попробуйте антивиром пройтись (хотя бы типа cureit), если не вылечит, то забэкапьте базы и переустановите чангу.

    Другие сервера (типа КД) тоже пострадали?

    1 апреля 2021 г. 5:28
  • один КД пострадал, но я его тогда сразу восстановил из бэкапа. А вот на почтовом только вчера увидел.

    Я прогнал на КД сканирование антивирем, ничего не нашло.

    Хочу тоже на почтовом пройтись, но у меня там уже стоит антиспам и антивирь Касперского. Но этот антивирь не сканирует файлы сервера, только почту. Я боюсь что из-за него я не смогу поставить антивирь для сервера. Конфликт же будет. Или это не так?

    Также закрыл выход в инет по 25 порту всем, кроме почтового сервера.

    Поменял пароли всем юзерам вчера.

    Что еще можно сделать?

    1 апреля 2021 г. 9:49
  • прошелся CureIt. нашел 2торяна.

    Потом прошелся CCCleaner. нашел подозрительные записи в реестре. типа:

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{29D2ECED-5EA3-4CA7-93E9-78F3E1644E20}"="v2.22|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=RPC-EPMap|App=C:\\Windows\\system32\\System32\\Svchost.exe|Svc=RPCSS|Name=RPC Endpoint Mapper (TCP-In)|Desc=@%ExchangeInstallPath%\\Bin\\FirewallRes.dll,-2010|EmbedCtxt=@%ExchangeInstallPath%\\Bin\\FirewallRes.dll,-2000|"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{2AB80FBB-B93B-4714-A802-7EDF15F3D282}"="v2.22|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=RPC|App=C:\\Windows\\system32\\System32\\Svchost.exe|Svc=RpcHttpLBS|Name=RpcHttpLBS (TCP-In)|Desc=@%ExchangeInstallPath%\\Bin\\FirewallRes.dll,-2021|EmbedCtxt=@%ExchangeInstallPath%\\Bin\\FirewallRes.dll,-2000|"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{672B554E-36CB-4815-8B8E-1838D6D8E86B}"="v2.22|Action=Allow|Active=TRUE|Dir=In|App=C:\\Program Files\\Microsoft\\Exchange Server\\V15\\bin\\Microsoft.Exchange.Worker.exe|Name=MSExchangeIS|"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{25EB7E72-7536-48E4-8206-87BB224D2BE4}"="v2.22|Action=Allow|Active=TRUE|Dir=In|App=C:\\Program Files\\Microsoft\\Exchange Server\\V15\\bin\\Microsoft.Exchange.Worker.exe|Name=MSExchangeIS|"



    5 апреля 2021 г. 8:49