none
Вирус прилетел ... RRS feed

  • Общие обсуждения

  • Сегодня обнаружил в своём админском почтовом ящике такое сообщение:

    У пользователей-таки обнаружил сообщение с этим вирусом W97/Adnel. Не во всех, но во многих ящиках. С почтового адреса no-reply@clicktravel.com. Внури вложение -Word c вирусом. При попытке открыть просит разрешения на запуск макросов. Ну и далее понятно.

    Немного непонятна суть сообщения мне, админу. Во-первых, естественно, у нас такого почтового ящика postmaster@......local нету, естественно. Во-вторых - если Exchange обнаружил вирус, то почему пропустил ? И в-третьих, не может ли быть так, что кто-то получил доступ к нашему почтовику и рассылает прямо с него от имени какого-нибудь аккаунта ? Короче говоря, как всегда - кто виноват и что делать ? :)


    =STAS=

    10 ноября 2015 г. 14:55

Все ответы

  • Такое бывает, если для коннектора получения включена анонимная аутентификация. Тогда китайцы вполне могут использовать ваш Exchange как SMTP Relay. Просто лично сталкивался с такой ситуацией у одного из заказчиков.

    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 11 ноября 2015 г. 5:48
    11 ноября 2015 г. 5:47
  • О как !!! А у меня именно так и есть ! Но, с другой стороны, у меня в коннекторе стоит принимать от одного внутреннего IP, с которого почта и идёт ... ?

    =STAS=

    11 ноября 2015 г. 8:31
  • если вы ограничили область действия анонимного коннектора, то и приниматься почта должна только с этого IP. Что за сервис по этому адресу у вас шлет вирусы?

    Do not multiply entities beyond what is necessary

    11 ноября 2015 г. 8:36
  • Чтобы точно понять, что происходит, надо анализировать логи. В первую очередь, коннекторов получения. Возможно, не все так просто. Очень часто подменяют в письме заголовок "Reply to" чтобы отправить NDR на посторонний (атакуемый) адрес. Поэтому и надо разбираться.

    Есть быстрое решение - отключить NDR :) Возможно, ошибка повторяться не будет.

    Но в данном вопросе мне больше интересно, как одно и то же зараженное письмо антивирус умудрился и срезать, и пропустить...

    11 ноября 2015 г. 8:37
  • Не знаю. А где это посмотреть ? Коннектор на приём анонимных сообщений с MDaemon-сервера внутри сети - через него всё и проходит. Хотя, дефолтовые коннекторы Exchange я тоже не отключал - может оттуда что-нибудь сыплется ? Хотя, с другой стороны, там же не должно быть возможности принимать от анонимных сендеров ?

    =STAS=

    • Изменено -STAS- 11 ноября 2015 г. 9:01
    11 ноября 2015 г. 8:39
  • А где смотреть ? У меня такие коннекторы сейчас на приём:


    =STAS=

    • Изменено -STAS- 11 ноября 2015 г. 8:51
    11 ноября 2015 г. 8:46
  • то есть вся входящая из интернета почта у вас сначала идет через mdaemon? А он у вас умеет фильтровать почту и искать в ней вирусы? Дело в том, что если антиспам/антивирус не развернут на нем, то и сообщения, попадающие в ПС Exchange никак фильтроваться не будут. В общем вам надо что-то делать с релеем (mdaemon). Возможно заменить его на Exchange Edge.

    Do not multiply entities beyond what is necessary

    11 ноября 2015 г. 9:17
  • ну почту MDaemon фильтрует, конечно. В основном на основе DNS-BL, соответствия сообщений стандартам RFC, подписей DKIM и Байесова фильтра. Но антивируса там нету. В данной конфигурации я всё-таки рассчитывал на Exchange. Да и Valuehost, через которого приходят сообщения на MDaemon, вроде тоже что-то там фильтрует.

    Релей буду удалять, когда перенесу всех пользователей на Exchange окончательно и найду, как в Exchange жёстко обрезать все исполняемые файлы (пока этим занимается MDaemon).

    Кстати, строго говоря, MDaemon не совсем релей - он сам-то почту не принимает, а просто забирает с Valuehost через MultiPOP и передаёт в Exchange.


    =STAS=

    • Изменено -STAS- 11 ноября 2015 г. 9:30
    11 ноября 2015 г. 9:28
  • а на самом Exchange какой-нибудь антивирус установлен?


    Do not multiply entities beyond what is necessary

    11 ноября 2015 г. 10:59
  • Нет.

    =STAS=

    11 ноября 2015 г. 11:04
  • Сведения о сообщении, полученные через OWA:

    Received: from MAIL........local (192.168.1.3) by MAIL........local
     (192.168.1.3) with Microsoft SMTP Server (TLS) id 15.0.1044.25 via Mailbox
     Transport; Tue, 10 Nov 2015 14:27:18 +0300
    Received: from MAIL........local (192.168.1.3) by MAIL........local
     (192.168.1.3) with Microsoft SMTP Server (TLS) id 15.0.1044.25; Tue, 10 Nov
     2015 14:27:15 +0300
    Received: from [103.41.212.37] (103.41.212.37) by MAIL........local
     (78.140........) with Microsoft SMTP Server id 15.0.1044.25 via Frontend
     Transport; Tue, 10 Nov 2015 14:27:14 +0300
    From: <no-reply@clicktravel.com>
    To: <olga@.......ru>
    Message-ID: <0000014fd65010c3-86e5bc1d-b2fe-4448-aa1d-1e6b9e107de7-000000@email.amazonses.com>
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
     boundary="----=_Part_13300_1343575795.1442409615092"
    Date: Tue, 10 Nov 2015 17:27:09 +0600
    Subject: Itinerary #C003NS39
    Return-Path: no-reply@clicktravel.com
    X-MS-Exchange-Organization-PRD: clicktravel.com
    X-MS-Exchange-Organization-SenderIdResult: PermError
    Received-SPF: PermError (MAIL........local: domain of no-reply@clicktravel.com
     used an invalid SPF mechanism)
    X-MS-Exchange-Organization-Network-Message-Id: 87f048c7-e427-4f1f-44a9-08d2e9c1e466
    X-MS-Exchange-Organization-SCL: 0
    X-MS-Exchange-Organization-PCL: 2
    X-MS-Exchange-Organization-Antispam-Report: DV:3.3.14505.472;SID:SenderIDStatus PermError;OrigIP:103.41.212.37
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-MS-Exchange-Organization-AuthSource: MAIL........local
    X-MS-Exchange-Organization-AuthAs: Anonymous


    =STAS=

    • Изменено -STAS- 11 ноября 2015 г. 11:30
    11 ноября 2015 г. 11:28