none
Помогите найти спамера RRS feed

  • Вопрос

  • Сервер релеем не является. Вижу такую картину в очереди:

    И так много сообщений. Ведение всех логов на коннекторах отправки и приема включены

    мессейдт трекинг показывает вот что:

    Только 1 лог по каждому адресату, не понятно, кто откуда загрузил. Как узнать IP с которого грузятся эти чертовы сообщения?


    • Изменено q2ker1 7 июня 2013 г. 14:56
    7 июня 2013 г. 14:55

Ответы

  • Это на внешнем send-коннекторе? Проверьте, что на внешнем коннекторе приема не стоит никакой другой аутентификации кроме анонимной.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа q2ker1 11 июня 2013 г. 7:43
    Модератор
  • скорее всего имелось в виду

    Set-RecipientFilterConfig -RecipientValidationEnabled $True

    ?

    и поставить 
    [PS] C:\Windows\system32>& 'C:\Program Files\Microsoft\Exchange Server\V14\Scripts\install-AntispamAgents.ps1'

    • Изменено q2ker1 17 июня 2013 г. 10:03
    • Помечено в качестве ответа q2ker1 17 июня 2013 г. 17:30
    17 июня 2013 г. 9:15
  • Если у вас нет Edge, а почту принимает обычный HT сервер и нет иной антиспам системы, то да - это вариант включить встроенные антиспам фильтры и использовать их для защиты.

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа q2ker1 17 июня 2013 г. 17:30
    17 июня 2013 г. 11:44
    Модератор

Все ответы

  • Это на внешнем send-коннекторе? Проверьте, что на внешнем коннекторе приема не стоит никакой другой аутентификации кроме анонимной.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа q2ker1 11 июня 2013 г. 7:43
    Модератор
  • Вы имеете в виду группы разрешений? Если да, то действительно, там стоит ещё ряд разрешений. Убрал.
    10 июня 2013 г. 5:52
  • Я пытаюсь удалить из очереди сообщения со статусом retry:

    Remove-Message -Server web -Filter {status -eq "Retry"} -WithNDR $false
    Выскакивает сообщение: Да, нет, для всех. Нажимаю для всех, но сообщения остаются. Что-то делаю не так?

    10 июня 2013 г. 6:05
  • Вы имеете в виду группы разрешений? Если да, то действительно, там стоит ещё ряд разрешений. Убрал.

    После этого новые спам сообщения появляются в очереди?

    Сазонов Илья http://isazonov.wordpress.com/

    11 июня 2013 г. 2:44
    Модератор
  • Спасибо!!!

    Прогресс заметен, ещё понаблюдаю. Получается что хоть сервер и не релей, но сообщения принимает для других доменов? Как так?


    • Изменено q2ker1 11 июня 2013 г. 7:38
    11 июня 2013 г. 7:36
  • Нет. У вас скорее всего утечка доменного логина и пароля: спамер использует его, чтобы авторизоваться через внешний коннектор и отправлять письма.


    Сазонов Илья http://isazonov.wordpress.com/

    11 июня 2013 г. 12:04
    Модератор
  • Нет, не помогло, опять вереницы сообщений как в 1 посте. ((( и опять только 1 лог на адрес. Как ещё можно проверить откуда идут сообщения?
    13 июня 2013 г. 6:02
  • Нашел лог SMTP сесии:

    ,+,, 2013-06-13T11:06:00.017Z,MAILM\Default MAILM,08D035E29B419E7B,1,10.0.0.10:25,85.59.168.192:26319,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions 2013-06-13T11:06:00.017Z,MAILM\Default MAILM,08D035E29B419E7B,2,10.0.0.10:25,85.59.168.192:26319,>,"220 MailM.okg.local Microsoft ESMTP MAIL Service ready at Thu, 13 Jun 2013 15:05:59 +0400", 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,3,10.0.0.10:25,85.59.168.192:26319,<,EHLO 192.pool85-59-168.dynamic.orange.es, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,4,10.0.0.10:25,85.59.168.192:26319,>,250-MailM.okg.local Hello [85.59.168.192], 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,5,10.0.0.10:25,85.59.168.192:26319,>,250-SIZE, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,6,10.0.0.10:25,85.59.168.192:26319,>,250-PIPELINING, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,7,10.0.0.10:25,85.59.168.192:26319,>,250-DSN, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,8,10.0.0.10:25,85.59.168.192:26319,>,250-ENHANCEDSTATUSCODES, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,9,10.0.0.10:25,85.59.168.192:26319,>,250-STARTTLS, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,10,10.0.0.10:25,85.59.168.192:26319,>,250-X-ANONYMOUSTLS, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,11,10.0.0.10:25,85.59.168.192:26319,>,250-AUTH NTLM, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,12,10.0.0.10:25,85.59.168.192:26319,>,250-X-EXPS GSSAPI NTLM, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,13,10.0.0.10:25,85.59.168.192:26319,>,250-8BITMIME, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,14,10.0.0.10:25,85.59.168.192:26319,>,250-BINARYMIME, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,15,10.0.0.10:25,85.59.168.192:26319,>,250-CHUNKING, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,16,10.0.0.10:25,85.59.168.192:26319,>,250-XEXCH50, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,17,10.0.0.10:25,85.59.168.192:26319,>,250-XRDST, 2013-06-13T11:06:00.158Z,MAILM\Default MAILM,08D035E29B419E7B,18,10.0.0.10:25,85.59.168.192:26319,>,250 XSHADOW, 2013-06-13T11:06:00.314Z,MAILM\Default MAILM,08D035E29B419E7B,19,10.0.0.10:25,85.59.168.192:26319,<,MAIL FROM:<z8XFOo5CewM@192.pool85-59-168.dynamic.orange.es>, 2013-06-13T11:06:00.314Z,MAILM\Default MAILM,08D035E29B419E7B,20,10.0.0.10:25,85.59.168.192:26319,*,08D035E29B419E7B;2013-06-13T11:06:00.017Z;1,receiving message 2013-06-13T11:06:00.314Z,MAILM\Default MAILM,08D035E29B419E7B,21,10.0.0.10:25,85.59.168.192:26319,>,250 2.1.0 Sender OK, 2013-06-13T11:06:00.454Z,MAILM\Default MAILM,08D035E29B419E7B,22,10.0.0.10:25,85.59.168.192:26319,<,RCPT TO:<gavrila@****.ru>, 2013-06-13T11:06:00.454Z,MAILM\Default MAILM,08D035E29B419E7B,23,10.0.0.10:25,85.59.168.192:26319,>,250 2.1.5 Recipient OK, 2013-06-13T11:06:00.595Z,MAILM\Default MAILM,08D035E29B419E7B,24,10.0.0.10:25,85.59.168.192:26319,<,DATA, 2013-06-13T11:06:00.595Z,MAILM\Default MAILM,08D035E29B419E7B,25,10.0.0.10:25,85.59.168.192:26319,>,354 Start mail input; end with <CRLF>.<CRLF>

    Почему Recipient OK, когда такого ящика нет?
    13 июня 2013 г. 11:16
  • Значит у вас не включена проверка того, что такой почтовый ящик существует в GAL. Включите и такие письма будут отбиваться на этом шаге.


    Сазонов Илья http://isazonov.wordpress.com/

    14 июня 2013 г. 4:15
    Модератор
  • Похоже опять жертва NDR :)

    У Вас сендер - постмастер. Это системная учетная запись.

    Рекомендую посмотреть содержимое сообщения.

    14 июня 2013 г. 4:52
  • Илья, не подскажите команду для включения проверки адресов в GAL? В конфиге транспорта такого нет.

    • Изменено q2ker1 14 июня 2013 г. 15:32
    14 июня 2013 г. 15:10
  • Посмотрите Organization - Hub Transtort - Accepted Domains: в свойствах вашего домена должно стоять Authoritative Domain.

    Сазонов Илья http://isazonov.wordpress.com/

    17 июня 2013 г. 5:48
    Модератор
  • там это и стоит. Где ещё можно посмотреть?

    17 июня 2013 г. 6:56
  • В таком случае адрес может быть прописан в каком-то почтовом ящике как дополнительный.

    Сазонов Илья http://isazonov.wordpress.com/

    17 июня 2013 г. 7:16
    Модератор
  • Такого адреса нет 100%. Я смотрю логи, там куча ерунды типа lena, vasa, dima и т.д. программа  просто подставляет из файла все имена подряд. Но у нас нету этих адресов. Откуда берется 250 2.1.5 Recipient OK?
    • Изменено q2ker1 17 июня 2013 г. 8:54
    17 июня 2013 г. 7:51
  • скорее всего имелось в виду

    Set-RecipientFilterConfig -RecipientValidationEnabled $True

    ?

    и поставить 
    [PS] C:\Windows\system32>& 'C:\Program Files\Microsoft\Exchange Server\V14\Scripts\install-AntispamAgents.ps1'

    • Изменено q2ker1 17 июня 2013 г. 10:03
    • Помечено в качестве ответа q2ker1 17 июня 2013 г. 17:30
    17 июня 2013 г. 9:15
  • Если у вас нет Edge, а почту принимает обычный HT сервер и нет иной антиспам системы, то да - это вариант включить встроенные антиспам фильтры и использовать их для защиты.

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа q2ker1 17 июня 2013 г. 17:30
    17 июня 2013 г. 11:44
    Модератор
  • Забыл предупредить, что встроенный Content filter может давать слишком много ложных срабатываний. Если это будет создавать для вас проблему, то лучше отключите его.

    Сазонов Илья http://isazonov.wordpress.com/

    18 июня 2013 г. 3:12
    Модератор