none
Спам с Exchange 2016 ОЧЕНЬ НУЖНА ПОМОЩЬ RRS feed

  • Вопрос

  • Стоит сервер exchange 2016. Начал рассылать спам с почтовых ящиков сотрудников. Бьюсь уже 3 дня, перепробовал все. Вроде все закрыл, но все равно сыпет тысячами. Подскажите что смотреть. В очереди просто жесть.

    27 октября 2018 г. 8:26

Ответы

  • пишет анонимусы не найдены, точно, вспомнил, я их отключал уже
    Client Frontend <Server name>  не должно быть anonymous users. Отключить пользователей, почистить все очереди и только потом смотреть, растет ли она.Если нет, то проблема в пароле.

    • Изменено Kazun 27 октября 2018 г. 10:40
    • Помечено в качестве ответа Kirill Shalenkov 27 октября 2018 г. 15:27
    27 октября 2018 г. 10:37

Все ответы

  • 1. Отключаете пользователей в Active Directory, которые присутствуют в рассылке, заголовок - "С адреса"

    Disable-ADAccount -Identity GhukovSV

    2. Меняете пароль на учетную запись

    Set-ADAccountPassword GhukovSV -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "NewGoodPassword" -Force)

    3. Чистите очередь

    Get-Queue | Foreach {Get-Message -Queue $_.Identity | Remove-Message -Confirm:$false -WithNDR:$false}
    4. Чистите почтовый ящик пользователя от NDR

    Через Get-MessageTrackingLog опредялем для удаления Sender:

    PS > Get-MessageTrackingLog -Recipients ghukovsv@domain.ru -Start (Get-Date).AddDays(-1).Date
    
    EventId  Source   Sender                                              Recipients                                          MessageSubject
    -------  ------   ------                                              ----------                                          --------------
    DELIVER  STORE... MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109... {ghukovsv@domain.ru}
    Удаление указав Sender MicrosoftExchange....:
    Search-Mailbox -Identity ghukovsv@domain.ru   -SearchQuery "From:MicrosoftExchange329e71ec88ae4615bbc36ab6ce4110..." -DeleteContent -SearchDumpster
    Проверить открытый relay - https://mxtoolbox.com/diagnostic.aspx



    • Изменено Kazun 27 октября 2018 г. 8:59
    27 октября 2018 г. 8:57
  • Пользователей отключал AD ничего не меняется, пароли менял, сейчас на открытый relay чекну. А как его закрыть если открыт?
    27 октября 2018 г. 9:06
  • https://anishjohnes.wordpress.com/2014/06/25/how-to-find-if-your-exchange-server-is-an-open-relay-what-are-the-steps-to-close-an-open-relay/
    27 октября 2018 г. 9:14
  • В общем ситуевина такая. Залочил 25 порт на вход. 2ip пишет закрыт. Очередь вычищаю (30000 писем было) НО! если ничего не делать, не удалять, количество писем начинает снова увеличиваться. по 4-8 писем в секунду. Понимаю что проблема сидит где то на машине, но как вычислить что за тварь сидит ума не приложу. process explorer ничего не нашел.
    27 октября 2018 г. 10:04
  • Клиенты шлют через - Client Frontend <Server name> (587 порт) по умолчанию, а не  через 25. Посмотреть с каких адресов идет рассылка и являются ли они внутренними:

    Get-MessageTrackingLog -Sender ghukovsv@domain.ru -Start (Get-Date).AddDays(-1).Date | Group-Object OriginalClientIp

    27 октября 2018 г. 10:21
  • вот отсюда идет

    716                           {Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent, Microso...
        2 177.200.65.188            {Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent, Microso...
        2 201.148.180.34            {Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent, Microso...
      226 143.202.227.8             {Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent, Microso...
       50 177.136.213.191           {Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent, Microso...
        4 201.150.48.182            {Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent, Microso...

    27 октября 2018 г. 10:30
  • пишет анонимусы не найдены, точно, вспомнил, я их отключал уже
    27 октября 2018 г. 10:34
  • пишет анонимусы не найдены, точно, вспомнил, я их отключал уже
    Client Frontend <Server name>  не должно быть anonymous users. Отключить пользователей, почистить все очереди и только потом смотреть, растет ли она.Если нет, то проблема в пароле.

    • Изменено Kazun 27 октября 2018 г. 10:40
    • Помечено в качестве ответа Kirill Shalenkov 27 октября 2018 г. 15:27
    27 октября 2018 г. 10:37
  • Да, Вы были правы. Проблема в скомпрометированной учетке. Отключил напрочь и все прекратилось.

    Хорошо что Вы в субботу заходите сюда))) Спасибо большое за помощь.

    27 октября 2018 г. 15:26