none
Ваше устройство взломано злоумышленниками RRS feed

  • Вопрос

  • Добрый день .

    Мне каждый день приходит спам на edge exchange 2013 от самого себя типа sender spam@test.ru и recipient spam@test.ru .

    Я вот что думаю у меня на сетевых интерфейсах стоит локальный dns от контроллеров домена , там есть домен test.ru в dns и записей txt там нет. Правильно я понимаю sender id config пытается проверить входящий домен на подделку письма из вне и он его пропускает так как нет значений  sfp для моей зоны test.ru  в локальном dns  ?

    и второй вопрос какой должен быть dns на сетевом адаптере внешний или внутренний(при условии что там создана зона), я во внутренней зоне сделал только A записи и srv .

    ========================= spam письмо Timestamp : 29.11.2019 14:53:10 ClientIp : 85.67.0.101 ClientHostname : fibhost-67-0-101.fibernet.hu ServerIp : 10.77.90.210 ServerHostname : V12RUTDMSC2013 SourceContext : 08D770DCD46B9C60;2019-11-29T11:53:09.507Z;0 ConnectorId : V12RUTDMSC2013\Default internal receive connector V12RUTDMSC2013 Source : SMTP EventId : RECEIVE InternalMessageId : 12665858556178 MessageId : <002701d5a6b3$079ab44c$605d20a0$@test.ru> Recipients : {moscowoffice@test.ru} RecipientStatus : {} TotalBytes : 3813 RecipientCount : 1 RelatedRecipientAddress : Reference : MessageSubject : ???? ?????????? ???????? ????????????????. ?????????? ??????? ??????! Sender : moscowoffice@test.ru ReturnPath : moscowoffice@test.ru Directionality : Incoming TenantId : OriginalClientIp : 85.67.0.101 MessageInfo : 00A: MessageLatency : MessageLatencyType : None EventData : {[DeliveryPriority, Normal], [AccountForest, localhost]} ========================= SenderIdConfig [PS] C:\Windows\system32>Get-SenderIdConfig SpoofedDomainAction : Reject TempErrorAction : Reject BypassedRecipients : {} BypassedSenderDomains : {} Name : SenderIdConfig Enabled : True ExternalMailEnabled : True InternalMailEnabled : True AdminDisplayName : ExchangeVersion : 0.1 (8.0.535.0) DistinguishedName : CN=SenderIdConfig,CN=Message Hygiene,CN=Transport Settings,CN=First Organization,CN=Microsof xchange,CN=Services,CN=Configuration,CN={F48C809F-D066-471A-8C46-064B52F71824} Identity : SenderIdConfig Guid : 6124a9ab-ef34-4181-907c-9d2eda346579 ObjectCategory : CN=ms-Exch-Message-Hygiene-Sender-ID-Config,CN=Schema,CN=Configuration,CN={F48C809F-D066-471 C46-064B52F71824} ObjectClass : {top, msExchAgent, msExchMessageHygieneSenderIDConfig} WhenChanged : 29.11.2019 15:30:12 WhenCreated : 29.07.2019 17:28:39 WhenChangedUTC : 29.11.2019 12:30:12 WhenCreatedUTC : 29.07.2019 14:28:39 OrganizationId : Id : SenderIdConfig OriginatingServer : localhost IsValid : True ObjectState : Unchanged ============================== Nslookup с Edge [PS] C:\Windows\system32>nslookup Default Server: v12ructdmsc2004.test.loc Address: 10.77.90.233 > set q=txt > test.ru Server: v12ructdmsc2004.test.loc Address: 10.77.90.233 test.ru primary name server = v12ructdmsc2004.test.loc responsible mail addr = hostmaster.test.loc serial = 10 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour)

    Из вне nslookup txt отдает прекрасно

    Сетевые настройки на edge

    Ethernet adapter Ethernet: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter Physical Address. . . . . . . . . : 00-15-5D-CF-19-0C DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 10.77.90.210(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.77.90.1 DNS Servers . . . . . . . . . . . : 10.77.90.233 10.77.90.231 NetBIOS over Tcpip. . . . . . . . : Enabled









    • Изменено Adlukashin 29 ноября 2019 г. 13:55
    29 ноября 2019 г. 13:50

Все ответы

  • Вам нужно настроить SFP на внешних DNS, которые отвечают за домен test.ru.

    Так же посмотрите заголовки письма в самом письме [в спаме]

    29 ноября 2019 г. 13:59
    Модератор
  • Вам нужно настроить SFP на внешних DNS, которые отвечают за домен test.ru.

    Так же посмотрите заголовки письма в самом письме [в спаме]


    Запись такая имеется вне есть, значит если внутри через nslookup с edga не отображается sfp запись твоего домена , то SenderIdConfig всеравно будет корректно работать ?

    29 ноября 2019 г. 14:34
  • если я не ошибаюсь, то EDGE не должен быть членом домена, и следовательно прописывать ему AD DNS в сетевых настройках не надо. Пропишите ему публичные DNS сервера, они то и знаю, есть ли у Вашего test.ru SFP или нет.

    Ну дальше вроде можно настроить политику\транспортное правило на проверку SFP. если я опять же не ошибаюсь...

    • Помечено в качестве ответа Adlukashin 2 декабря 2019 г. 6:51
    • Снята пометка об ответе Adlukashin 2 декабря 2019 г. 6:51
    29 ноября 2019 г. 18:10
    Модератор
  • если я не ошибаюсь, то EDGE не должен быть членом домена, и следовательно прописывать ему AD DNS в сетевых настройках не надо. Пропишите ему публичные DNS сервера, они то и знаю, есть ли у Вашего test.ru SFP или нет.

    Ну дальше вроде можно настроить политику\транспортное правило на проверку SFP. если я опять же не ошибаюсь...


    А подписка не слетит ? она же вроде по именам?
    2 декабря 2019 г. 6:51
  • Увы, не знаю...
    2 декабря 2019 г. 6:54
    Модератор