Exchange server рассылает спам что делать

Exchange Server: спам

Попросили посмотреть сервер — непонятным образом шел спам.

Первая мысль была в том что неправильно настроены соединители получения и отправки, но оказалось что все в порядке.

однако обнаружилось, что действительно через соеденитель получения со стороны интернета через нас делают рассылки.

Выключили соеденитель получения — спам перестал идти.

Немного подумав решили включить антиспам — агент на сервере и заблокировать IP спамера.

Добавили IP спамера в черный список …. и спам продолжает идти. Общее впечатление — что включен у нас опенрелэй, но по факту опенрелэя нет. Блокируем на фаерволе IP — спам прекращается на время, потом опять начинает идти но с другого адреса.

«Наверное неправильный антиспам фильтр у microsoft» — подумали мы и поставили ORF.

Сразу в логах обнаружилось интересное:

Обратите внимание на эту строку:

Немного подумав заходим на соеденитель получения и убираем галочку

… и спам перестает идти ))))

было все очень просто: утек пароль доменной учетной записи. Так как опенрэлэй закрыт, то отправить письма через наш сервер можно было только авторизовавшись на SMTP сервере. При наличии логин/пароля отправить почту не составляет никаких проблем. что спамеры и делали.

Я так как посмотреть кто авторизовался на SMTP коннекторе?

Включить ведение журнала, коннектора

Это значит только одно: доменная учетная запись Administrator как раз и была скомпрометирована, и от ее имени велась рассылка.

Имеется локальная сеть (домен, иса 06, екчейндж 2010)

2 дня назад случайно зашел в очередь сообщений на экчейндж и обнаружил картину маслом - в очереди висело порядка 150 000 сообщений на отправку а так же порядка 20000 очередей с этими сообщениями. Все они были от отдного адреса а рассылались на рызные адреса (адрес отправителя был не из моего домена а какой то левый, и рассылались они на левые адреса). Мягко сказать офигев я почистил очередь, все сообщения удалил и на этом и остановился. Почта работала, новые спам сообщения не появлялись, никаких проблем не было.

Вчера утром сервер екчейндж наглухо завис. Перезагрузил его, захожу в очередь и опять вижу там больше 150000 сообщений. От того же отправителя + добавился другой. Опять с горем по полам я почистил очередь, удалив оттуда все левые сообщения. Перезагрузил сервер, проверил на вирусы доктором вебом (был найден 1 зараженный файл и веб его успешно удалил), почта работает, очередь не растет, левые сообщения не появляются.

Было решено помониторить денек другой что точно ничего не появляется. До трех часов ночи все было чисто, а в промежутке с 3 до 4 я зашел на сервер в очередь сообщений и опять обнаружил растущие очереди и отправку сообщений с левых адресов, только теперь их было не 1 или 2 а несколько десятков.

Очередь росла на глазах. Я отключил внешнею сетевую карту, заблокировал на исе 25 порт в локальной сети, но сообщения все равно появлялись новые в очереди. После чего я решил отключить все Соединители отправки транспортного сервера концентратора. Сообщения расти перестали, их удалил и начал по очереди включать каждый соединитель и смотреть после какого из них начнется опять рост очереди, но ничего так и не произошло. Как удалив все в 4 ночи до сих пор ниодного левого сообщения. После этих 2 дней наш домен и ип внесен в несколько блеклистов что очень печально.

Из-за чего может быть такая спам рассылка и как ее запретить. open relay отключен на сервере.

Прошу помощи, т. к я пока еще не отличный специалист в Exchange 2010. Куда копать и в чем может быть причина?

Заранее спасибо

Вот фото очереди для наглядного представления. Как видно на домене yandex. com висит порядка 80000 сообщений в очереди.

Защита Exchange 2010 от спама и вирусов

В данной статье мы продолжим разговор про защиту от спама и вирусов при помощи продуктов компании Microsoft.

Для начала давайте определимся, какие варианты защиты предлагает компания Microsoft.

Рис.1: Варианты защиты от спама и вирусов.

Фильтрация почты – дело профессионалов

В качестве первого варианта. я хотел бы предложить воспользоваться облачным сервисом от Microsoft – Forefront Online Security for Exchange.

Служба Forefront Online Security for Exchange - это набор специализированных средств, для фильтрации спама и вирусов, а также защиты от фишинг-атак. С ее помощью предотвращаются попытки несанкционированного доступа, она обеспечивает многоуровневую защиту от спама и вирусов.

Рис.2: Принцип работы Forefront Online Security for Exchange

Данная служба подходит компаниям практически любого размера, она чрезвычайно проста в использовании и не требует выделенных серверов. Вы просто подписываетесь на данную услугу, делаете небольшие настройки вашего сервера Exchange 2010 и получаете профессионально отфильтрованный поток почты. Подробно останавливаться на этом варианте не будем, т. к. сложно ни чего в нем нет, а всю необходимую информацию вы сможете сами найти на сайте проекта - http://www. microsoft. com/rus/allpromo/fose/ .

Фильтрация почта на Hub Transport сервере

Защита на сервере c ролью Edge Transport

Сегодня давайте обсудим третий вариант - защиту от спама и вирусов на выделенном сервере с ролью Edge Transport.

Посмотрим, как можно организовать защиту на выделенном пограничном сервере:

1. Использовать базовый функционал Exchange 2010 Server.

2. Воспользоваться возможностями TMG для дополнительной фильтрации спама и вирусов.

3. Установить Forefront Protection for Exchange 2010 – продукт, специально созданный для защиты от спама и вирусов, причем не только входящей корреспонденции, но и исходящей и внутрикорпоративной.

Примечание : О том, как установить сервер Edge Transport совместно с Threat Management Gateway ( TMG ) можно почитать тут ( http://www. alexxhost. ru/2010/04/exchange-server-2010-edge-server. html ). А о том, как сконфигурировать работу Интернет почты через Edge сервер – тут ( http://www. alexxhost. ru/2010/05/edge-transport-exchange-2010.html ).

Базовый функционал анти-спам защиты Exchange 2010

Основная цель Edge Transport - не пропустить спам и вирусы в корпоративную сеть, и Edge серверы используют целый набор спам-фильтров (тех, которые мы активировали выше на роли Hub Transport):

1. Connection filtering (Фильтрация подключений)

2. Content filtering (Фильтрация содержимого)

3. Sender ID (Код отправителя)

4. Sender filtering (Фильтрация отправителей)

5. Recipient filtering (Фильтрация получателей)

6. Sender reputation (Репутация отправителя)

Примечание : Recipient Filtering (фильтр получателей) нуждается в информации из Active Directory , соответственно для его работы нужна подписка Edge Subscription , а если конкретнее, то механизм репликации EdgeSync .

После установки роли Edge Transport мы можем видеть, что по умолчанию включены все возможные фильтры и активно их автоматическое обновление (его можно только отключить):

Рис.3: Фильтры анти-спама на Edge сервере.

В результате, мы получаем простой и дешевый сценарий, который обеспечивает базовую защиту от спама на выделенном и специально предназначенном для этих целей сервере. Данный вариант гораздо лучше и правильнее, того, когда мы активируем модули анти-спам защиты на сервере Hub Transport, но, тем не менее, он не достаточен для серьезной борьбы с Интернет угрозами, распространяющимися через электронную почту. В частности в данном случае мы не имеем возможности фильтрации сообщений на предмет содержания вредоносного ПО.

Защита почты при помощи TMG

Рассмотрим «переходный» вариант защиты от вирусов (почему «переходный» – расскажу в конце). У Threat Management Gateway ( TMG) есть возможность «заглядывать» внутрь протокола SMTP и тем самым контролировать проходящую через него почту. Если мы откроем консоль TMG, то увидим, что там есть раздел Политика электронной почты.

Рис.4: Политика электронной почты в консоли TMG.

Данная политика изначально не сконфигурирована, по этому нужно нажать кнопку Настроить политику электронной почты в меню Действие. Запустившемуся мастеру нужно указать адреса локальных серверов Hub Transport и имена доверенных доменов (Accepted Domains), далее нужно выбрать внутреннюю и внешнюю сети (или набор сетей), на которые будут настроены соответствующие прослушиватели (Listeners – выполняют функцию, аналогичную коннекторам в серверах Exchange). Если у вас на сетевых интерфейсах несколько IP-адресов, то можно будет указать только часть из них. При настройке внешнего прослушивателя не забудьте указать внешнее FQDN вашего сервера, чтобы SMTP-сервер мог правильно представляться на запрос команд HELO/EHLO (например mail. firma. ru). На следующем шаге мастера нужно поставить галочку в графе «Включить подключение для трафика EdgeSync», зачем это необходимо, мы уже говорили выше, помните только, что предварительно нужно оформить саму подписку Edge Subscription.

В результате будут созданы два SMTP маршрута, один внутренний, другой внешний (рис.5).

Рис.5: Настраивать методов аутентификации на прослушивателях.

Обратите внимание, что на прослушивателях, так же как и на Exchange-коннекторах можно и даже нужно настраивать методы аутентификации!

Т. к. необходимые маршруты уже созданы, то в ручную настраивать политики трафика не нужно, если у вас до этого внешняя почта работала, то и теперь она должна также работать без проблем.

В результате установки роли Edge Transport совместно с Интернет-шлюзом на базе сервера TMG 2010, в дополнение к базовым функциям фильтрации почты от спама, мы получили функционал по анализу содержимого писем на наличие вредоносного ПО, запрещенных фраз и типов файлов (рис.15).

Примечание : Совместно с сервером TMG 2010 можно использовать роли Edge не только Exchange 2010 сервера, но и Exchange 2007 SP 1/ SP 2.

Рис.6: Антивирусный фильтр в TMG.

Причем при анализе писем на вирусы вы можете активировать для сканирования до 5 антивирусных модулей.

Примечание : Нужно иметь ввиду, что чем больше модулей вы выберете, тем больше будет нагрузка на ваш сервер!

Обновление антивируса, или «ложка дегтя в бочке меда»

TMG имеет свой Центр обновлений, через который вы всегда сможете проконтролировать актуальность имеющихся определений, причем у Проверки наличия вредоносных программ есть свои лицензионные данные (рис.7).

Рис.7: Лицензирование антивирусных сигнатур.

И если присмотреться, то можно заметить, что через 120 дней, после установки TMG, защита на вирусы обновляться престанет. Все дело в том, что обновления антивирусных модулей для TMG распространяются в рамках подписки на Forefront Protection for Exchange и стоимость их составляет около 15 долларов в год на пользователя (для TMG Medium Business Edition (который идет в составе Essential Business Server) – 8 долларов).

В результате и получается, что данный вариант защиты от спама и вирусов является «переходным», т. е. через 4 месяца вам придется решать проблему обновления защиты от вирусов.

Фактически, в Microsoft TMG компонент Политики электронной почты ( E- Mail Protection) предоставляет лишь центральное управление для Microsoft Exchange Edge и Forefront Protection for Exchange серверов, когда они размещены на одном сервере, и использовать его без подписки на FPE не целесообразно.

Для полноценной защиты почты от спама и вирусов необходимо приобретать подписку Forefront Protection for Exchange и пользоваться удобной графической консолью со всем возможным функционалом защиты и централизованным управлением.

Загрузить Forefront Protection for Exchange можно по ссылке прямо из мастера установки Exchange 2010, либо TMG (самая первая картинка при запуске установщика)

Рис.8: Установка FPE из мастера установки Exchange.

Что касается конфигурирования FPE 2010, то это достаточно обширная тема и её мы рассмотрим в одной из будущих статей.

Заключение

В статье я попытался раскрыть свое видение вариантов защиты корпоративной почты от спама и вирусов, а также показать процесс установки данных решений. Следующим шагом должна быть настройка самой защиты, о чем я и постараюсь написать в одной из следующих статей.

через меня рассылают спам, exchange 2003

11/05/2005 17:13

> если убрать анонимуса то сервера 192.168.111.25 и 192.168.111.12 перестают пересылать почту

И это правильно

Значит так.

Определись, как локальные пользователи будут отправлять почту:

а). Без SMTP-аутентификации.

б). С SMTP-аутентификацией.

Первое предполагает, что ты знаешь IP-адреса всех почтовых клиентов, которые могут отправлять почту через твой сервер. И что эти IP-адреса не меняются.

И в первом, и во втором случае в окне SMTP Connector Properties выкл ючаешь "Allow messages to be relayed to these domains". Именно эта опция и позволяет рассылать спам через твой сервер.

Если мы выбираем вариант без SMTP-аутентификации, то

1). в окне Authentification вкл ючаешь "Anonymouse access".

2). в окне Relay restrictions в список IP-адресов, для которых разрешено делать relaying, добавляешь IP-адреса своей локальной сети.

Если же мы выбираем вариант с SMTP-аутентификацией (это правильнее), то

1). в окне Authentification вкл ючаешь Basic или Integrated authentification (зависит от почтовых клиентов; Integrated умеют не все).

2). в окне Relay restrictions из списка IP-адресов убираешь все адреса.

3). настраиваешь у клиентов использование SMTP-аутентификации.

style="display:inline-block;width:300px;height:250px"
data-ad-client="ca-pub-6667286237319125"
data-ad-slot="5736897066">