none
идет спам RRS feed

  • Вопрос

  • С какой-то машины в сети постоянно идет спам, как отследить какая машина (ip), посылает письма.


    P1NGU1N
    • Перемещено Hengzhe Li 12 марта 2012 г. 10:43 forum merge (От:Exchange Server 2007)

Все ответы

  • Что MTC говорит ?
    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
  • Если честно не знаю что такое МТС…

    Ситуация такова кто-то в сети постоянно отсылает данные по несуществующим адресам. В спам приходят письма не удается доставить отправка происходит с несуществующих адресов.

    Пример

    Диагностические сведения для администраторов:

    Формирующий сервер: smtp-out.centriconline.eu

    e.gordon@annefrank.nl
    #< #5.5.0 smtp;550 No such user (
    e.gordon@annefrank.nl)> #SMTP#

    e.schellekens@annefrank.nl
    #< #5.5.0 smtp;550 No such user (
    e.schellekens@annefrank.nl)> #SMTP#

    Исходные заголовки сообщения:

    Received: from RRZAWUHV ([119.160.199.178]) by smtp-out.centriconline.eu with
     Microsoft SMTPSVC(6.0.3790.1830);      Tue, 12 May 2009 03:14:09 +0200
    Message-ID: <000d01c9d29e$ee5ce1a0$6400a8c0@walleyesx7>
    From: Rachelle Villarreal <
    walleyesx7@moydomen.ru>
    To: <
    e.gordon@annefrank.nl>
    Subject: Best Software You Could Ever Find.
    Date: Tue, 12 May 2009 06:44:00 +0530
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
                boundary="----=_NextPart_000_0007_01C9D29E.EE5CE1A0"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.2180
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
    Return-Path:
    walleyesx7@moydomen.ru
    X-OriginalArrivalTime: 12 May 2009 01:14:10.0097 (UTC) FILETIME=[F43B6A10:01C9D29E]

    Таких писем доходит до нескольких тысяч в день. Неделю назад такого не было.


    P1NGU1N
  • annefrank.nl - ваш домен? если да, то  http://technet.microsoft.com/ru-ru/library/bb125187.aspx
    Судя по заголовкам это вам спам шлют , а не у вас в сети рассылают. IP 119.160.199.178 вам что нибудь говорит или это ваша сетка?
    посмотрите вот эту ветку http://social.technet.microsoft.com/forums/ru-RU/ocses2007ru/thread/5a02fa9c-7a44-4bbc-b429-25f6825ee2de/


    MCSE, MCTS, MCITP, STS
    • Изменено Buchenkov Andrey 12 мая 2009 г. 19:27 Добавлены ссылки
  • Дайте побольше информации.

    Если спам идет в вашу организацию от имени вашего домена, то нужно запрещать прием почты извне от имени вашего домена. Это можно сделать в фильтрах отправителя при условии, что ваши SMTP клиенты не отправляют через этот сервер почту.


    http://www.exchangerus.ru
    Модератор
  • Не удалось выполнить доставку следующим получателям или лицам из следующих списков рассылки:

     

    cpazzagli@tim.it
    Почтовый ящик получателя переполнен и в данный момент не может принимать сообщения. Microsoft Exchange не будет повторять попытку доставить это сообщение. Попытайтесь снова отправить это сообщение позже или обратитесь к получателю напрямую.

     

    Диагностические сведения для администраторов:

     

    Формирующий сервер: fep06.tim.it

     

    cpazzagli@tim.it
    #< #4.2.2> #SMTP#

     

    Исходные заголовки сообщения:

     

    Received: from 190-51-130-239.speedy.com.ar ([190.51.171.219])          by
     fep03-svc.tim.it          (InterMail vM.6.01.06.03 201-2131-130-104-20060516)
     with ESMTP          id
     <
    20090512014813.CWII15533.fep03-svc.tim.it@190-51-130-239.speedy.com.ar>;
              Tue, 12 May 2009 03:48:13 +0200
    Message-ID: <000d01c9d2a3$b4503f70$6400a8c0@managerial56>
    From: Sallie Holcomb <
    managerial56@MOYDOMEN.ru>
    To: <
    cpazzagli@tim.it>
    Subject: Save up to $1000 on your Microsoft today.
    Date: Mon, 11 May 2009 22:48:10 -0300
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
                boundary="----=_NextPart_000_0007_01C9D2A3.B4503F70"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.2180
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

    Не удалось выполнить доставку следующим получателям или лицам из следующих списков рассылки:

     

    ahall@metra-pep-secmx.associated-allied.net
    Произошла ошибка при попытке доставить это сообщение на адрес электронной почты получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Повторите отправку позже или передайте указанное ниже диагностическое сообщение администратору.

     

     

    Диагностические сведения для администраторов:

     

    Формирующий сервер: inflexible.nxlkhost.com

     

    ahall@metra-pep-secmx.associated-allied.net
    #< #4.0.0 X-ConcentricHost-3-5--MX; delivery temporarily suspended: connect to mail.associated-allied.net[208.176.40.199]: server refused to talk to me: 421 too many connections> #SMTP#

     

    Исходные заголовки сообщения:

     

    Received: (ConcentricHost PEP-secmx 1.5 forwarder on [inflexible.xo.com]);
                with EXMTP id F1641BC4B9 for <
    ahall@associated-allied.net>; Fri,  8 May 2009
     01:22:23 -0400 (EDT)
    Received: from dynamic-ip-adsl-190.186.68.115.cotas.com.bo (dynamic-ip-adsl-190.186.68.115.cotas.com.bo [190.186.68.115])
                by inflexible.nxlkhost.com (ConcentricHost(4.0.r14942) MX) with ESMTP id F1641BC4B9.0507GBIVNB00;
                Fri,  8 May 2009 01:22:05 -0400 (EDT)
    Message-ID: <000d01c9cf9c$b22448e0$6400a8c0@indictablebva771>
    From: Deana Painter <
    indictablebva771@MOYDOMEN.ru>
    To: <
    ahall@associated-allied.net>
    Subject: Save up to $2000 on Adobe Acrobat 9 Pro Extended and Adobe Photoshop CS4 Extended. 
    Date: Fri, 8 May 2009 01:20:26 -0400
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
                boundary="----=_NextPart_000_0007_01C9CF9C.B22448E0"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.2180
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
    X-Concentric-MX-Info: s=0507GBIVNB00:1 ts=0 td=27 dt=0 tro=2 tra=2 trb=0 sro=2 sra=2 ic=0
    X-Concentric-DKIM: SigStatus="No signature", PolSusp="No", PolTest="No", Policy="none", Handling="none"

     

    indictablebva771@MOYDOMEN.ru

    managerial56@MOYDOMEN.ru

    адресов в моей сети нет.

    Как мне кажется, завелся червь, который постоянно отсылает сообщения на разные адреса с рекламой.


    P1NGU1N
  • MTC - это трэкинг центр

    Черви в большинстве своем используют SMTP .а не MAPI - отследить по smtp логу легко
    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
  • Если ваша версия - червь в сети, так закройте SMTP наружу.

    У меня сделано так. Внутри сети SMTP разрешен только между почтовыми серверами. На серверах разрешен прием по SMTP извне и со сканеров.
    Даже в случае появления червя в сети, он не сможет отослать сообщение ни наружу ни на мой почтовый сервер.


    У Вас релей закрыт? Проверка получателей в AD включена?
    Возможно ваш сервер всасывает ВСЕ сообщения для вашего домена, проверяет пользователя, не находит и пытается отослать NDR по адресам извне.

    http://www.exchangerus.ru
    Модератор
  • Итак, все понятно.

    Спамеры в сети отправляют сообщения с адресов indictablebva771@MOYDOMEN.ru
    MOYDOMEN.ru
    был получен в Интернет, это просто.

    Спам отправляется от имени поддельных адресов вашего домена на разные серверы, к примеру mailrete-2.tim.it .  Сервер mailrete-2.tim.it настроен просто, он не проверят своих получателей на уровне SMTP, принимает все письма для домена tim.it . Обработав его и не найдя получателя он формирует его и отправляет на адрес отправителя indictablebva771@MOYDOMEN.ru . Поскольку Ваш сервер тоже не проверяет получателя на уровне SMTP, то письмо будет принято и попадет в ящик, куда направляются NDR или в badmail.

    Точно так же, если Ваш сервер не проверяет получателя на уровне SMTP, то ваш сервер будет всасывать все, что приходит на *@MYDOMAIN.ru, а желающих отправить такие письма много, будет отправлено на несуществующие и существующие адреса, поэтому у Вас будут очереди забиты отправкой NDR.

    Решение: Включить галку - проверять получателей в AD в фильтре получателей на Exchange

    Ситуация хорошо описана тут.
    http://www.exchangerus.ru
    Модератор


  • Решение: Включить галку - проверять получателей в AD в фильтре получателей на Exchange

    Ситуация хорошо описана тут.

    где описана ситуация???

    Вот как вариант,

    Разрешить прием SMTP только с определенных ip адресов (серверов) всем остальным запретить.

    Где это настроить.




    P1NGU1N
  • Я думаю что имелось в виду следущее http://technet.microsoft.com/en-us/library/aa998898.aspx

    Закладка Blocked Recipients, галка Block messages send to recipients not listed in the Global Adress List. 

  • Сорри, забыл вставить ссылку. http://www.insidepro.com/kk/186/186r.shtml
    Тут описан механизм работы NDR спама.

    "Разрешить прием SMTP только с определенных ip адресов (серверов) всем остальным запретить."
    В свойствах Receive connector, где разрешен анонимный доступ
     
    http://www.exchangerus.ru
    Модератор