none
Приходит не понятный отбойник '554 rejecting banned content' RRS feed

  • Вопрос

  • Добрый день. Пользователю приходит с периодичностью в минуту-две отбойник:

    smtp.smsummit.com.sg rejected your message to the following email addresses:

    teresa@centurioncorp.com.sg (teresa@centurioncorp.com.sg) Your message couldn't be delivered and there was no valid enhanced status code being issued by the remote mail system to determine the exact cause, status: '554 rejecting banned content'.

    smtp.smsummit.com.sg gave this error: rejecting banned content

    Diagnostic information for administrators:

    Generating server: Exchange.orto.ru

    teresa@centurioncorp.com.sg smtp.smsummit.com.sg Remote Server returned '554 rejecting banned content'

    Original message headers:

    Received: from Exchange.orto.ru (192.168.3.6) by exchange.orto.ru
     (192.168.3.6) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.1591.10; Thu, 11
     Aug 2022 11:09:54 +0300
    Received: from Exchange.orto.ru ([fe80::4f7:c8e0:4b4:77d0]) by
     exchange.orto.ru ([fe80::4f7:c8e0:4b4:77d0%16]) with mapi id 15.01.1591.008;
     Thu, 11 Aug 2022 11:09:54 +0300
    From: =?koi8-r?B?4sHMwdvP18Eg6dLJzsE=?= <balashova@metiz-ortho.ru>
    To: "teresa@centurioncorp.com.sg" <teresa@centurioncorp.com.sg>
    Subject: Your files are encrypted. Your information has been stolen. Your
     business is in danger.
    Thread-Topic: Your files are encrypted. Your information has been stolen. Your
     business is in danger.
    Thread-Index: AQHYrVm8GidIlbExOk61V3/980PE6g==
    Date: Thu, 11 Aug 2022 08:09:54 +0000
    Message-ID: <ccff19f8e5f447ed9d04d6068a3ef814@metiz-ortho.ru>
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    x-originating-ip: [212.32.254.123]
    Content-Type: multipart/alternative;
            boundary="_000_ccff19f8e5f447ed9d04d6068a3ef814metizorthoru_"
    MIME-Version: 1.0

    Пользователь ни чего не шлет. В правилах exchange при получении спама или вируса письма просто удаляются. Т.е. не пересылаются отправителю обратно. Куда еще можно смотреть? 

    11 августа 2022 г. 8:21

Ответы

Все ответы

  • Смотрю, отбойник приходит от разных ящиков в домене @centurioncorp.com.sg и не только. Добавились новые домены.


    Сеичас идут рассылки на несуществующие ящики и получаем ответ 554 5.4.4:

    Delivery has failed to these recipients or groups:

    centurioncorp.com.sg@multi262.postfix.bmsend.combody (centurioncorp.com.sg@multi262.postfix.bmsend.combody) A problem occurred and this message couldn't be delivered. Check to be sure the email address is correct. If the problem continues, please contact your email admin.

    Diagnostic information for administrators:

    Generating server: Exchange.orto.ru

    centurioncorp.com.sg@multi262.postfix.bmsend.combody Remote Server returned '554 5.4.4 SMTPSEND.DNS.NonExistentDomain; nonexistent domain multi262.postfix.bmsend.combody -> DnsDomainDoesNotExist: InfoDomainNonexistent'

    Original message headers:

    Received: from Exchange.orto.ru (192.168.3.6) by exchange.orto.ru
     (192.168.3.6) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.1591.10; Thu, 11
     Aug 2022 12:31:52 +0300
    Received: from Exchange.orto.ru ([fe80::4f7:c8e0:4b4:77d0]) by
     exchange.orto.ru ([fe80::4f7:c8e0:4b4:77d0%16]) with mapi id 15.01.1591.008;
     Thu, 11 Aug 2022 12:31:52 +0300
    From: =?koi8-r?B?4sHMwdvP18Eg6dLJzsE=?= <balashova@metiz-ortho.ru>
    To: "centurioncorp.com.sg@multi262.postfix.bmsend.combody"
            <centurioncorp.com.sg@multi262.postfix.bmsend.combody>
    Subject: Your files are encrypted. Your information has been stolen. Your
     business is in danger.
    Thread-Topic: Your files are encrypted. Your information has been stolen. Your
     business is in danger.
    Thread-Index: AQHYrWUw5vjb4a73BE6qE0eJLV2HhA==
    Date: Thu, 11 Aug 2022 09:31:52 +0000
    Message-ID: <ba4d0aed30e54981a9cecb9e11609f5f@metiz-ortho.ru>
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    x-originating-ip: [212.32.254.122]
    Content-Type: multipart/alternative;
            boundary="_000_ba4d0aed30e54981a9cecb9e11609f5fmetizorthoru_"

    MIME-Version: 1.0

    ---------------------

    Отправка рассылки идет от трех пользователей. Как это возможно остановить? Пользователям сменил пароли на всякий случай. Проблема осталась.

    Так и нет идей?

    Т.е. перед отправкой писем пользователь должен пройти авторизацию.

    И видимо он это как то обходит. Подбор логина отпадает т.к. я менял

    пароль и это не на минуту не решило проблему.






    • Изменено ivldenis1 11 августа 2022 г. 12:01
    11 августа 2022 г. 8:31
  • Так же фиксируется событие 4625. Похоже на подбор логина\пароля.:

    An account failed to log on.

    Subject:
    Security ID: SYSTEM
    Account Name: EXCHANGE$
    Account Domain: ORTO
    Logon ID: 0x3E7

    Logon Type: 8

    Account For Which Logon Failed:
    Security ID: NULL SID
    Account Name: dean@metiz-ortho.ru
    Account Domain:

    Failure Information:
    Failure Reason: Unknown user name or bad password.
    Status: 0xC000006D
    Sub Status: 0xC0000064

    Process Information:
    Caller Process ID: 0xfd0
    Caller Process Name: C:\Program Files\Microsoft\Exchange Server\V15\Bin\MSExchangeFrontendTransport.exe

    Network Information:
    Workstation Name: EXCHANGE
    Source Network Address: -
    Source Port: -

    Detailed Authentication Information:
    Logon Process: Advapi  
    Authentication Package: Negotiate
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0

    This event is generated when a logon request fails. It is generated on the computer where access was attempted.

    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

    The Process Information fields indicate which account and process on the system requested the logon.

    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

    The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

    --------------------------

    Товарищи. Как защитится то?

    11 августа 2022 г. 12:36
  • Посмотрите логи на предмет, а не спамят ли через ваши серверы на эти адреса?
    11 августа 2022 г. 13:39
  • Да, спамят. С наших ящиков через наш же сервер. Но почему то на адреса двух доменов. И на не существующие адреса. Сейчас ставлю в срочном порядке обновления. Меня то это по большей части и возмущает - как у них это получается.



    • Изменено ivldenis1 11 августа 2022 г. 13:58
    11 августа 2022 г. 13:43
  • Для информации. Поставил все обновления на ОС и обновление на Exchange KB5000871

    Все рассылки спама прекратились. И прекратился подбор паролей.

    14 августа 2022 г. 5:59