none
С моего сервера exchange 2010 ведется рассылка спама с адреса marketing@domain.ru RRS feed

  • Вопрос

  • Добрый день!
    Добрые люди, прошу помочь, с недавнего времени заметил у себя на сервере рассылку спама с адреса marketing@domain.ru. Помогите обезопасить сервер.

    Вот часть SMTP логов писем:

    2019-04-08T19:05:06.530Z,192.168.1.31,ntpag11,217.74.65.64,mx.interia.pl,,123,SMTP,DEFER,2975527,<259e5f0c072cf9f5cf5aecbf4ba79d916f6d35aa@pag.ru>,pinium@interia.pl,"450 4.7.1 Twoj serwer poczty 78.24.41.23 zostal tymczasowo zablokowany za spam - skontaktuj sie z nami przez formularz http://pomoc.poczta.interia.pl/antispam,ip,78.24.41.23 / Your email server 78.24.41.23 was temporarily blocked due to spam - contact us and report a problem",17321,1,,,"Hallo, ich hei?e Nastya",marketing@pag.ru,marketing@pag.ru,2019-04-08T19:06:06.498Z,Originating,,,,S:DeliveryPriority=Low;S:PrioritizationReason=AMS:80900841/1048576|ARC:36927/500
    2019-04-08T19:05:06.530Z,192.168.1.31,ntpag11,217.74.65.64,mx.interia.pl,,123,SMTP,DEFER,2966159,<4F4AFCAFA4704330ECE9A034D0A6713D@pag.ru>,bogdan_grzesiak@interia.pl;robertfalek@interia.pl,"450 4.7.1 Twoj serwer poczty 78.24.41.23 zostal tymczasowo zablokowany za spam - skontaktuj sie z nami przez formularz http://pomoc.poczta.interia.pl/antispam,ip,78.24.41.23 / Your email server 78.24.41.23 was temporarily blocked due to spam - contact us and report a problem;450 4.7.1 Twoj serwer poczty 78.24.41.23 zostal tymczasowo zablokowany za spam - skontaktuj sie z nami przez formularz http://pomoc.poczta.interia.pl/antispam,ip,78.24.41.23 / Your email server 78.24.41.23 was temporarily blocked due to spam - contact us and report a problem",24328,2,,,Hi,marketing@pag.ru,marketing@pag.ru,2019-04-08T19:06:06.483Z,Originating,,,,S:DeliveryPriority=Low;S:PrioritizationReason=AMS:107591158/1048576|ARC:55117/500

    8 апреля 2019 г. 19:10

Ответы

Все ответы

  • В консоли управления Exchange 2010 в разделе Toolbox есть средство трассировки сообщений (Tracking Log Explorer).  Можно и отдельно его запустить (исполняемый файл ExTRA.exe называется). Запускайте его, ищите в журнале трассировки то сообщение, на которое получили отбивку и смотрите, откуда оно у вас взялось.

    PS Если вдруг журнал трассировки отключен, то включите его (в свойствах Hub Transport server вкладка Log Settings галка Enable Message Tracking log) и ждите следующей отбивки.


    Слава России!

    8 апреля 2019 г. 21:39
  • 1. Как минимум стоит сменить пароль от пя marketing@domain.ru

    2. Проверьте не используются ли ваш сервер в качестве SMTP Relay

    https://practical365.com/exchange-server/how-to-configure-a-relay-connector-for-exchange-server-2010/

    9 апреля 2019 г. 5:37
  • Нашел данные сообщения отправляется с моего адреса marketing@domain.ru

    Какую информацию нужно посмотреть о данных сообщениях?

    Рассылку спамит на разные адреса с переодичностью в минуту.

    9 апреля 2019 г. 17:29
  • 1. Отключил данный пя, не помогло

    2 Проверю отпишусь

    9 апреля 2019 г. 17:30
  • Настроил коннектор получателя по данной инструкции, не помогло рассылка спама так и продолжается с адреса моего домена marketing@domain.ru

    Хотя письма еще отходят от вчерашнего числа, видать в очереди были. Ну проверим подождем.В очереди 70 000 писем от данного адреса, Сейчас удаляю их из очереди.

    9 апреля 2019 г. 18:21
  • Нашел данные сообщения отправляется с моего адреса marketing@domain.ru

    Какую информацию нужно посмотреть о данных сообщениях?

    Рассылку спамит на разные адреса с переодичностью в минуту.

    Смотреть надо, кем оно отправляется, каков источник: SMTP, STOREDRIVER (т.е. через MAPI-клиент навроде Outlook).

    Если SMTP, то смотрите с какого IP и от какой учетной записи (или анонимно). И там уже разбирайтесь, какой процесс на какой машине отправляет.


    Слава России!

    9 апреля 2019 г. 19:54
  • Спам после поправки соединителя ушел от пя marketing@pag.ru

    Но появилось очень много спама с внешки на мои пя.

    Помогите грамотно настроить соединитель получения.

    10 апреля 2019 г. 4:02
  • Посмотрите подобный топик:

    Огромное количество спама в средстве просмотра очереди



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    10 апреля 2019 г. 5:10
    Модератор
  • Т.е. фактически вы первоначальную проблему решили? А удалось найти источник?

    Что вы используете в качестве антиспам-решения?

    10 апреля 2019 г. 5:32
  • Т.е. фактически вы первоначальную проблему решили? А удалось найти источник?

    Что вы используете в качестве антиспам-решения?

    Проблему с рассылкой с marketing@domain.ru решил редактированием коннектора получателя.

    Проверяю сейчас через сервис https://mxtoolbox.com/diagnostic.aspx свой почтовик выдает что May be an open relay.

    В качестве антиспам решения к сожалению ничего нет, кроме дефолтной защиты exchange.

    Что можете посоветовать?


    10 апреля 2019 г. 6:04
  • Можете рассмотреть Exchnage Online Protection:

    Exchange Online Protection overview



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    10 апреля 2019 г. 8:04
    Модератор
  • Можете рассмотреть Exchnage Online Protection:

    Exchange Online Protection overview



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    А все таки как теперь закрыть опен релей?
    10 апреля 2019 г. 8:15

  • А все таки как теперь закрыть опен релей?

    Дмитрий вам привел пример выше, там я отвечал как для русской AD закрыть open relay или для английской.

    "Посмотрите подобный топик:

    Огромное количество спама в средстве просмотра очереди"

    10 апреля 2019 г. 8:47

  • А все таки как теперь закрыть опен релей?

    Дмитрий вам привел пример выше, там я отвечал как для русской AD закрыть open relay или для английской.

    "Посмотрите подобный топик:

    Огромное количество спама в средстве просмотра очереди"

    Вот что выдает команда:

    [PS] C:\Windows\system32>Get-ReceiveConnector "NTPAG11\Default NTPAG11" |Get-ADPermission -User "NT Authority\АНОНИМНЫЙ
    ВХОД" |FL ExtendedRights


    ExtendedRights : {ms-Exch-Store-Create-Named-Properties}

    ExtendedRights : {ms-Exch-Create-Public-Folder}

    ExtendedRights :

    ExtendedRights :

    10 апреля 2019 г. 10:48
  • Судя по выводу он у Вас уже закрыт на текущий момент

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.


    10 апреля 2019 г. 11:56
    Модератор
  • Снаружи подключитесь к вашему серверу via telnet и попробуйте отправить без аутентификации письмо внутреннему и внешнему пользователю. Если в обоих случаях ошибка - unable to relay, то скорее всего у вас всё ок. 
    10 апреля 2019 г. 12:16
  • Снаружи подключитесь к вашему серверу via telnet и попробуйте отправить без аутентификации письмо внутреннему и внешнему пользователю. Если в обоих случаях ошибка - unable to relay, то скорее всего у вас всё ок. 

    Не могу достучаться телнетом до сервера, выкидывает при вводе команды из cmd

    telnet mail.pag.ru 25

    вот что выдает тест почтовика:

    Connecting to 78.24.41.23

    220 mail.pag.ru Microsoft ESMTP MAIL Service ready at Wed, 10 Apr 2019 17:39:05 +0400 [704 ms]
    EHLO keeper-us-east-1b.mxtoolbox.com
    250-mail.pag.ru Hello [52.55.244.91]
    250-SIZE
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-STARTTLS
    250-AUTH
    250-8BITMIME
    250-BINARYMIME
    250-CHUNKING
    250-XEXCH50
    250 XSHADOW [734 ms]
    MAIL FROM:<supertool@mxtoolbox.com>
    250 2.1.0 Sender OK [761 ms]
    RCPT TO:<test@mxtoolboxsmtpdiag.com>
    250 2.1.5 Recipient OK [767 ms]

    LookupServer 4515ms

    10 апреля 2019 г. 13:30
  • У вас сервер Exchange один? Есть еще какие то receive коннекторы кроме Default и Client? 25 порт прокинут напрямую на Exchange?
    10 апреля 2019 г. 13:38
  • Снаружи подключитесь к вашему серверу via telnet и попробуйте отправить без аутентификации письмо внутреннему и внешнему пользователю. Если в обоих случаях ошибка - unable to relay, то скорее всего у вас всё ок. 

    Не могу достучаться телнетом до сервера, выкидывает при вводе команды из cmd

    telnet mail.pag.ru 25


          А как у вас тогда почта ходит? Вы уверены, что именно снаружи подключаетесь по указанному имени?
    10 апреля 2019 г. 13:41
  • У вас сервер Exchange один? Есть еще какие то receive коннекторы кроме Default и Client? 25 порт прокинут напрямую на Exchange?

    Есть еще exchange 2013, но он сейчас отключен.

    25 порт , да напрямую прокинут к серверу exchange 2010.

    10 апреля 2019 г. 13:52
  • Снаружи подключитесь к вашему серверу via telnet и попробуйте отправить без аутентификации письмо внутреннему и внешнему пользователю. Если в обоих случаях ошибка - unable to relay, то скорее всего у вас всё ок. 

    Не могу достучаться телнетом до сервера, выкидывает при вводе команды из cmd

    telnet mail.pag.ru 25


          А как у вас тогда почта ходит? Вы уверены, что именно снаружи подключаетесь по указанному имени?

    Да, пробую снаружи. Да проблема с наружной стороной , с другого места все ок телнетом)

    10 апреля 2019 г. 13:59
  • телнетом на команды:

    mail from: somebody@hotmail.com

    250 2.1.0 Sender Ok

    rcpt to: somebody@gmail.com

    250 2.1.5 Recipient Ok

    Подскажите что нужно прописать в Remote Network Settings в соединителе получателя?

    10 апреля 2019 г. 14:13
  • Get-ReceiveConnector

    Покажите для начала.
    10 апреля 2019 г. 14:30
  • Get-ReceiveConnector

    Покажите для начала.
    [PS] C:\Windows\system32>Get-ReceiveConnector
    
    Identity                                Bindings                                Enabled
    --------                                --------                                -------
    NTPAG11\Default NTPAG11                 {0.0.0.0:25}                            True
    NTPAG11\Client NTPAG11                  {:::587, 0.0.0.0:587}                   True
    NTPAG11\External                        {192.168.1.31:25}                       False
    NTPAG1\Default NTPAG1                   {0.0.0.0:2525, :::2525}                 True
    NTPAG1\Client Proxy NTPAG1              {:::465, 0.0.0.0:465}                   True
    NTPAG1\Default Frontend NTPAG1          {:::25, 0.0.0.0:25}                     True
    NTPAG1\Outbound Proxy Frontend NTPAG1   {:::717, 0.0.0.0:717}                   True
    NTPAG1\Client Frontend NTPAG1           {:::587, 0.0.0.0:587}                   True


    10 апреля 2019 г. 15:33
  • Get-ReceiveConnector | Get-ADPermission | Where {$_.User -Like '*anon*' -And $_.ExtendedRights -Like 'ms-Exch-SMTP-Accept-Any-Recipient'} | ft Identity, User, ExtendedRights


    MCITP, MCSE. Regards, Oleg

    10 апреля 2019 г. 17:48
    Модератор
  • Get-ReceiveConnector | Get-ADPermission | Where {$_.User -Like '*anon*' -And $_.ExtendedRights -Like 'ms-Exch-SMTP-Accept-Any-Recipient'} | ft Identity, User, ExtendedRights


    MCITP, MCSE. Regards, Oleg

    На данную команду ничего не реагирует .

    проверил вручную каждый коннектор нигде нет 

    ms-Exch-SMTP-Accept-Any-Recipient'
    11 апреля 2019 г. 5:19
  • А что у вас на входе стоит? У меня один раз был случай, когда линукс на входе вёл себя не корректно, что точно было не скажу, давно было и линукс был вне моего доступа, но все письма проходили через него с SCL -1 и он просто открывал "портал в ад" для спамеров.

    И релэй похожу у вас все еще не закрыт, сервер даёт ставить сообщения от левых адресов в очередь...

    11 апреля 2019 г. 13:03
  • А что у вас на входе стоит? У меня один раз был случай, когда линукс на входе вёл себя не корректно, что точно было не скажу, давно было и линукс был вне моего доступа, но все письма проходили через него с SCL -1 и он просто открывал "портал в ад" для спамеров.

    И релэй похожу у вас все еще не закрыт, сервер даёт ставить сообщения от левых адресов в очередь...

    На входе стоит маршрутизатор циска.

    Каким образом закрыть релей?


    11 апреля 2019 г. 13:34