none
open replay или новый червь? RRS feed

  • Вопрос

  •  

    Я уже 2 недлю борюсь со страным явлением. Почтовый сервер посылает сообщения каждые 3-5 секунд.

    пришлось на это время да и досих пор у меня прекрыт 25 порт на выход.

    Причем у меня закрыт сервер как релей

    1.Закрыт релей

    2. Стоит антивирус (симантек)

    3. ОТдавал виртуальный диск на поиск вирусов знакомым у которых стоит и аваст и касперский и нод. вирусы не обнаруженны.

    4. На смтп стоит авторизация

    5. тестировал и procmonitor и tcpview и полным набором.

    при этом вижу что идет установка связи с процесов inetinfo.exe (это iis). Сверял версии и размер все в норме.

    6. Грешу что может быть какой-то умник сломал пароль от учетки и шлет спам.

    отключал по очереди все все учетки иса всеравно фиксирует посылку по 25 порту.

    7. Может быть это очеты о недоставки сообщения? так как спам регулярно валется ко мне. Как отключить все отчеты о недоставки!?

    есть идеи что ещ может быть... уже нет мыслей...

    у кого есть возможность пробейте на open replay niceday точка ru

    • Перемещено Tina_Tian 19 марта 2012 г. 3:07 forum merge (От:Exchange Server 2003/2000/5.5)
    11 декабря 2007 г. 14:00

Ответы

  •  

    Большое спасибо Сергею Крылову.

    Проблема была бональная. Отчеты о доставки во все были виноваты ... очистив очередь и удалив отчеты о доставке + включив фильтр о нахождение учетки в домене проблему решили...

     

    Жаль что все так просто Smile

    13 декабря 2007 г. 17:19

Все ответы

  • У вас 25-й не только на выход , но и на вход перекрыт , по крайней мере от меня в данное время

     

    Что в логах и MTC и smtp на эти письма ?

     

    11 декабря 2007 г. 14:17
  • >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@niceday.ru>
    <<< 250 2.1.0 spamtest@niceday.ru....Sender OK
    >>> RCPT TO:<securitytest%abuse.net@niceday.ru>
    <<< 250 2.1.5 securitytest%abuse.net@niceday.ru
    11 декабря 2007 г. 16:10
  •  Sadok123 написано:
    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@niceday.ru>
    <<< 250 2.1.0 spamtest@niceday.ru....Sender OK
    >>> RCPT TO:<securitytest%abuse.net@niceday.ru>
    <<< 250 2.1.5 securitytest%abuse.net@niceday.ru

     

    Это нормально в том плане, что это релей для вашей зоны (вашего домена). Ваш сервер обслуживает домен niceday.ru поэтому и принимает. Если у вас нет доп.настроек то никуда далее вашей системы эта почта не уйдет.

    11 декабря 2007 г. 16:36
  •  

    и еще

     

    на основании такого краткого куска лога сделать какое либо заключение проблематично

     

    1. Включить фильтр получателей настроив его на проверку\поиск пользователя в AD

    2. Если сервер в единственном числе то временно можно включить фильтр отправителей в котором сделать запрет на прием от домена (вашего)

    3. Если используются клиенты mapi , да даже если и не используются - временно запретить коннект к smtp любым компам из внутренней сетки

     

    продолжение следует ...

    11 декабря 2007 г. 16:46
  •  

    Почта релеится конечно в внутри домена.

     

    не могу найти ссылку на включение логирования, Сергей подскажите путь...

    Кону интерестно покапаться разобраться и обьяснить в чем у меня грабли милости прошу ...

    учетка help

    пароль help

    Буду очень признателен.

     

    п.с Учетка будет блокироваться в нерабочее время так что если кто хочет помочь мне буду очень благодарен.

    пишите в приват или подскжите что еще можно сделать!? Или что еще Вам нужно что бы была более точная информация

     

     

     

    12 декабря 2007 г. 10:06
  •  Butunin Klim написано:

     

    Почта релеится конечно в внутри домена.

     

    не могу найти ссылку на включение логирования, Сергей подскажите путь...

    Кону интерестно покапаться разобраться и обьяснить в чем у меня грабли милости прошу ...

    учетка help

    пароль help

    Буду очень признателен.

     

     

     

     

    о каком именно логировании идет речь ?

     

    лог smtp вы можете выслать мне на почту (адрес в профиле)

     

    п.с. к сожалению "пройти" по указанной ссылке не могу

    12 декабря 2007 г. 12:03
  • какой именно лог вам нужен?

    Включить логирования SMTP трафика на максимум? и выслать Вал гол или что сделать подскажите?!

    12 декабря 2007 г. 14:23
  • Да - лог файл smtp , диагностику MSExchangeTransport пока не нужно

     

    + к этому exchdump /smtp (ТОЛЬКО БЕЗ КАКОГО ЛИБО ВМЕШАТЕЛЬСТВА !!! )

    12 декабря 2007 г. 14:49
  •  

    + к этому exchdump /smtp (ТОЛЬКО БЕЗ КАКОГО ЛИБО ВМЕШАТЕЛЬСТВА !!! )

    Как это сделать?!

    12 декабря 2007 г. 14:58
  •  

    Большое спасибо Сергею Крылову.

    Проблема была бональная. Отчеты о доставки во все были виноваты ... очистив очередь и удалив отчеты о доставке + включив фильтр о нахождение учетки в домене проблему решили...

     

    Жаль что все так просто Smile

    13 декабря 2007 г. 17:19