Remove From My Forums

Вирус прилетел ...

Общие обсуждения
0

Нужно войти
Сегодня обнаружил в своём админском почтовом ящике такое сообщение:

У пользователей-таки обнаружил сообщение с этим вирусом W97/Adnel. Не во всех, но во многих ящиках. С почтового адреса no-reply@clicktravel.com. Внури вложение -Word c вирусом. При попытке открыть просит разрешения на запуск макросов. Ну и далее понятно.

Немного непонятна суть сообщения мне, админу. Во-первых, естественно, у нас такого почтового ящика postmaster@......local нету, естественно. Во-вторых - если Exchange обнаружил вирус, то почему пропустил ? И в-третьих, не может ли быть так, что кто-то получил доступ к нашему почтовику и рассылает прямо с него от имени какого-нибудь аккаунта ? Короче говоря, как всегда - кто виноват и что делать ? :)

=STAS=
- Изменено -STAS- 11 ноября 2015 г. 8:33
- Изменен тип Petko KrushevMicrosoft contingent staff, Moderator 7 декабря 2015 г. 11:43
10 ноября 2015 г. 14:55

Ответить

|

Цитировать

Все ответы

2

Нужно войти
Такое бывает, если для коннектора получения включена анонимная аутентификация. Тогда китайцы вполне могут использовать ваш Exchange как SMTP Relay. Просто лично сталкивался с такой ситуацией у одного из заказчиков.

Do not multiply entities beyond what is necessary
- Изменено Dmitry.I 11 ноября 2015 г. 5:48
11 ноября 2015 г. 5:47

Ответить

|

Цитировать
0

Нужно войти

О как !!! А у меня именно так и есть ! Но, с другой стороны, у меня в коннекторе стоит принимать от одного внутреннего IP, с которого почта и идёт ... ?
=STAS=

11 ноября 2015 г. 8:31

Ответить

|

Цитировать
1

Нужно войти

если вы ограничили область действия анонимного коннектора, то и приниматься почта должна только с этого IP. Что за сервис по этому адресу у вас шлет вирусы?
Do not multiply entities beyond what is necessary

11 ноября 2015 г. 8:36

Ответить

|

Цитировать
1

Нужно войти

Чтобы точно понять, что происходит, надо анализировать логи. В первую очередь, коннекторов получения. Возможно, не все так просто. Очень часто подменяют в письме заголовок "Reply to" чтобы отправить NDR на посторонний (атакуемый) адрес. Поэтому и надо разбираться.

Есть быстрое решение - отключить NDR :) Возможно, ошибка повторяться не будет.

Но в данном вопросе мне больше интересно, как одно и то же зараженное письмо антивирус умудрился и срезать, и пропустить...

11 ноября 2015 г. 8:37

Ответить

|

Цитировать
0

Нужно войти
Не знаю. А где это посмотреть ? Коннектор на приём анонимных сообщений с MDaemon-сервера внутри сети - через него всё и проходит. Хотя, дефолтовые коннекторы Exchange я тоже не отключал - может оттуда что-нибудь сыплется ? Хотя, с другой стороны, там же не должно быть возможности принимать от анонимных сендеров ?

=STAS=
- Изменено -STAS- 11 ноября 2015 г. 9:01
11 ноября 2015 г. 8:39

Ответить

|

Цитировать
0

Нужно войти
А где смотреть ? У меня такие коннекторы сейчас на приём:

=STAS=
- Изменено -STAS- 11 ноября 2015 г. 8:51
11 ноября 2015 г. 8:46

Ответить

|

Цитировать
0

Нужно войти

то есть вся входящая из интернета почта у вас сначала идет через mdaemon? А он у вас умеет фильтровать почту и искать в ней вирусы? Дело в том, что если антиспам/антивирус не развернут на нем, то и сообщения, попадающие в ПС Exchange никак фильтроваться не будут. В общем вам надо что-то делать с релеем (mdaemon). Возможно заменить его на Exchange Edge.
Do not multiply entities beyond what is necessary

11 ноября 2015 г. 9:17

Ответить

|

Цитировать
0

Нужно войти
ну почту MDaemon фильтрует, конечно. В основном на основе DNS-BL, соответствия сообщений стандартам RFC, подписей DKIM и Байесова фильтра. Но антивируса там нету. В данной конфигурации я всё-таки рассчитывал на Exchange. Да и Valuehost, через которого приходят сообщения на MDaemon, вроде тоже что-то там фильтрует.

Релей буду удалять, когда перенесу всех пользователей на Exchange окончательно и найду, как в Exchange жёстко обрезать все исполняемые файлы (пока этим занимается MDaemon).

Кстати, строго говоря, MDaemon не совсем релей - он сам-то почту не принимает, а просто забирает с Valuehost через MultiPOP и передаёт в Exchange.

=STAS=
- Изменено -STAS- 11 ноября 2015 г. 9:30
11 ноября 2015 г. 9:28

Ответить

|

Цитировать
0

Нужно войти

а на самом Exchange какой-нибудь антивирус установлен?
Do not multiply entities beyond what is necessary

11 ноября 2015 г. 10:59

Ответить

|

Цитировать
0

Нужно войти

Нет.
=STAS=

11 ноября 2015 г. 11:04

Ответить

|

Цитировать
0

Нужно войти
Сведения о сообщении, полученные через OWA:

Received: from MAIL........local (192.168.1.3) by MAIL........local
(192.168.1.3) with Microsoft SMTP Server (TLS) id 15.0.1044.25 via Mailbox
Transport; Tue, 10 Nov 2015 14:27:18 +0300
Received: from MAIL........local (192.168.1.3) by MAIL........local
(192.168.1.3) with Microsoft SMTP Server (TLS) id 15.0.1044.25; Tue, 10 Nov
2015 14:27:15 +0300
Received: from [103.41.212.37] (103.41.212.37) by MAIL........local
(78.140........) with Microsoft SMTP Server id 15.0.1044.25 via Frontend
Transport; Tue, 10 Nov 2015 14:27:14 +0300
From: <no-reply@clicktravel.com>
To: <olga@.......ru>
Message-ID: <0000014fd65010c3-86e5bc1d-b2fe-4448-aa1d-1e6b9e107de7-000000@email.amazonses.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_13300_1343575795.1442409615092"
Date: Tue, 10 Nov 2015 17:27:09 +0600
Subject: Itinerary #C003NS39
Return-Path: no-reply@clicktravel.com
X-MS-Exchange-Organization-PRD: clicktravel.com
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (MAIL........local: domain of no-reply@clicktravel.com
used an invalid SPF mechanism)
X-MS-Exchange-Organization-Network-Message-Id: 87f048c7-e427-4f1f-44a9-08d2e9c1e466
X-MS-Exchange-Organization-SCL: 0
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.14505.472;SID:SenderIDStatus PermError;OrigIP:103.41.212.37
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: MAIL........local
X-MS-Exchange-Organization-AuthAs: Anonymous

=STAS=
- Изменено -STAS- 11 ноября 2015 г. 11:30
11 ноября 2015 г. 11:28

Ответить

|

Цитировать