пятница, 23 сентября 2016 г.

Exchange server рассылает спам что делать





Exchange Server: спам


Попросили посмотреть сервер — непонятным образом шел спам.


Первая мысль была в том что неправильно настроены соединители получения и отправки, но оказалось что все в порядке.


однако обнаружилось, что действительно через соеденитель получения со стороны интернета через нас делают рассылки.


Выключили соеденитель получения — спам перестал идти.


Немного подумав решили включить антиспам — агент на сервере и заблокировать IP спамера.


Добавили IP спамера в черный список …. и спам продолжает идти. Общее впечатление — что включен у нас опенрелэй, но по факту опенрелэя нет. Блокируем на фаерволе IP — спам прекращается на время, потом опять начинает идти но с другого адреса.


«Наверное неправильный антиспам фильтр у microsoft» — подумали мы и поставили ORF.


Сразу в логах обнаружилось интересное:


Обратите внимание на эту строку:


Немного подумав заходим на соеденитель получения и убираем галочку


… и спам перестает идти ))))


было все очень просто: утек пароль доменной учетной записи. Так как опенрэлэй закрыт, то отправить письма через наш сервер можно было только авторизовавшись на SMTP сервере. При наличии логин/пароля отправить почту не составляет никаких проблем. что спамеры и делали.


Я так как посмотреть кто авторизовался на SMTP коннекторе?


Включить ведение журнала, коннектора


Это значит только одно: доменная учетная запись Administrator как раз и была скомпрометирована, и от ее имени велась рассылка.



Имеется локальная сеть (домен, иса 06, екчейндж 2010)


2 дня назад случайно зашел в очередь сообщений на экчейндж и обнаружил картину маслом - в очереди висело порядка 150 000 сообщений на отправку а так же порядка 20000 очередей с этими сообщениями. Все они были от отдного адреса а рассылались на рызные адреса (адрес отправителя был не из моего домена а какой то левый, и рассылались они на левые адреса). Мягко сказать офигев я почистил очередь, все сообщения удалил и на этом и остановился. Почта работала, новые спам сообщения не появлялись, никаких проблем не было.


Вчера утром сервер екчейндж наглухо завис. Перезагрузил его, захожу в очередь и опять вижу там больше 150000 сообщений. От того же отправителя + добавился другой. Опять с горем по полам я почистил очередь, удалив оттуда все левые сообщения. Перезагрузил сервер, проверил на вирусы доктором вебом (был найден 1 зараженный файл и веб его успешно удалил), почта работает, очередь не растет, левые сообщения не появляются.


Было решено помониторить денек другой что точно ничего не появляется. До трех часов ночи все было чисто, а в промежутке с 3 до 4 я зашел на сервер в очередь сообщений и опять обнаружил растущие очереди и отправку сообщений с левых адресов, только теперь их было не 1 или 2 а несколько десятков.


Очередь росла на глазах. Я отключил внешнею сетевую карту, заблокировал на исе 25 порт в локальной сети, но сообщения все равно появлялись новые в очереди. После чего я решил отключить все Соединители отправки транспортного сервера концентратора. Сообщения расти перестали, их удалил и начал по очереди включать каждый соединитель и смотреть после какого из них начнется опять рост очереди, но ничего так и не произошло. Как удалив все в 4 ночи до сих пор ниодного левого сообщения. После этих 2 дней наш домен и ип внесен в несколько блеклистов что очень печально.


Из-за чего может быть такая спам рассылка и как ее запретить. open relay отключен на сервере.


Прошу помощи, т. к я пока еще не отличный специалист в Exchange 2010. Куда копать и в чем может быть причина?


Заранее спасибо


Вот фото очереди для наглядного представления. Как видно на домене yandex. com висит порядка 80000 сообщений в очереди.



Защита Exchange 2010 от спама и вирусов


В данной статье мы продолжим разговор про защиту от спама и вирусов при помощи продуктов компании Microsoft.


Для начала давайте определимся, какие варианты защиты предлагает компания Microsoft.


Рис.1: Варианты защиты от спама и вирусов.


Фильтрация почты – дело профессионалов


В качестве первого варианта. я хотел бы предложить воспользоваться облачным сервисом от Microsoft – Forefront Online Security for Exchange.


Служба Forefront Online Security for Exchange - это набор специализированных средств, для фильтрации спама и вирусов, а также защиты от фишинг-атак. С ее помощью предотвращаются попытки несанкционированного доступа, она обеспечивает многоуровневую защиту от спама и вирусов.


Рис.2: Принцип работы Forefront Online Security for Exchange


Данная служба подходит компаниям практически любого размера, она чрезвычайно проста в использовании и не требует выделенных серверов. Вы просто подписываетесь на данную услугу, делаете небольшие настройки вашего сервера Exchange 2010 и получаете профессионально отфильтрованный поток почты. Подробно останавливаться на этом варианте не будем, т. к. сложно ни чего в нем нет, а всю необходимую информацию вы сможете сами найти на сайте проекта - http://www. microsoft. com/rus/allpromo/fose/ .


Фильтрация почта на Hub Transport сервере


Защита на сервере c ролью Edge Transport


Сегодня давайте обсудим третий вариант - защиту от спама и вирусов на выделенном сервере с ролью Edge Transport.


Посмотрим, как можно организовать защиту на выделенном пограничном сервере:


1. Использовать базовый функционал Exchange 2010 Server.


2. Воспользоваться возможностями TMG для дополнительной фильтрации спама и вирусов.


3. Установить Forefront Protection for Exchange 2010 – продукт, специально созданный для защиты от спама и вирусов, причем не только входящей корреспонденции, но и исходящей и внутрикорпоративной.


Примечание : О том, как установить сервер Edge Transport совместно с Threat Management Gateway ( TMG ) можно почитать тут ( http://www. alexxhost. ru/2010/04/exchange-server-2010-edge-server. html ). А о том, как сконфигурировать работу Интернет почты через Edge сервер – тут ( http://www. alexxhost. ru/2010/05/edge-transport-exchange-2010.html ).


Базовый функционал анти-спам защиты Exchange 2010


Основная цель Edge Transport - не пропустить спам и вирусы в корпоративную сеть, и Edge серверы используют целый набор спам-фильтров (тех, которые мы активировали выше на роли Hub Transport):


1. Connection filtering (Фильтрация подключений)


2. Content filtering (Фильтрация содержимого)


3. Sender ID (Код отправителя)


4. Sender filtering (Фильтрация отправителей)


5. Recipient filtering (Фильтрация получателей)


6. Sender reputation (Репутация отправителя)


Примечание : Recipient Filtering (фильтр получателей) нуждается в информации из Active Directory , соответственно для его работы нужна подписка Edge Subscription , а если конкретнее, то механизм репликации EdgeSync .


После установки роли Edge Transport мы можем видеть, что по умолчанию включены все возможные фильтры и активно их автоматическое обновление (его можно только отключить):


Рис.3: Фильтры анти-спама на Edge сервере.


В результате, мы получаем простой и дешевый сценарий, который обеспечивает базовую защиту от спама на выделенном и специально предназначенном для этих целей сервере. Данный вариант гораздо лучше и правильнее, того, когда мы активируем модули анти-спам защиты на сервере Hub Transport, но, тем не менее, он не достаточен для серьезной борьбы с Интернет угрозами, распространяющимися через электронную почту. В частности в данном случае мы не имеем возможности фильтрации сообщений на предмет содержания вредоносного ПО.


Защита почты при помощи TMG


Рассмотрим «переходный» вариант защиты от вирусов (почему «переходный» – расскажу в конце). У Threat Management Gateway ( TMG) есть возможность «заглядывать» внутрь протокола SMTP и тем самым контролировать проходящую через него почту. Если мы откроем консоль TMG, то увидим, что там есть раздел Политика электронной почты.


Рис.4: Политика электронной почты в консоли TMG.


Данная политика изначально не сконфигурирована, по этому нужно нажать кнопку Настроить политику электронной почты в меню Действие. Запустившемуся мастеру нужно указать адреса локальных серверов Hub Transport и имена доверенных доменов (Accepted Domains), далее нужно выбрать внутреннюю и внешнюю сети (или набор сетей), на которые будут настроены соответствующие прослушиватели (Listeners – выполняют функцию, аналогичную коннекторам в серверах Exchange). Если у вас на сетевых интерфейсах несколько IP-адресов, то можно будет указать только часть из них. При настройке внешнего прослушивателя не забудьте указать внешнее FQDN вашего сервера, чтобы SMTP-сервер мог правильно представляться на запрос команд HELO/EHLO (например mail. firma. ru). На следующем шаге мастера нужно поставить галочку в графе «Включить подключение для трафика EdgeSync», зачем это необходимо, мы уже говорили выше, помните только, что предварительно нужно оформить саму подписку Edge Subscription.


В результате будут созданы два SMTP маршрута, один внутренний, другой внешний (рис.5).


Рис.5: Настраивать методов аутентификации на прослушивателях.


Обратите внимание, что на прослушивателях, так же как и на Exchange-коннекторах можно и даже нужно настраивать методы аутентификации!


Т. к. необходимые маршруты уже созданы, то в ручную настраивать политики трафика не нужно, если у вас до этого внешняя почта работала, то и теперь она должна также работать без проблем.


В результате установки роли Edge Transport совместно с Интернет-шлюзом на базе сервера TMG 2010, в дополнение к базовым функциям фильтрации почты от спама, мы получили функционал по анализу содержимого писем на наличие вредоносного ПО, запрещенных фраз и типов файлов (рис.15).


Примечание : Совместно с сервером TMG 2010 можно использовать роли Edge не только Exchange 2010 сервера, но и Exchange 2007 SP 1/ SP 2.


Рис.6: Антивирусный фильтр в TMG.


Причем при анализе писем на вирусы вы можете активировать для сканирования до 5 антивирусных модулей.


Примечание : Нужно иметь ввиду, что чем больше модулей вы выберете, тем больше будет нагрузка на ваш сервер!


Обновление антивируса, или «ложка дегтя в бочке меда»


TMG имеет свой Центр обновлений, через который вы всегда сможете проконтролировать актуальность имеющихся определений, причем у Проверки наличия вредоносных программ есть свои лицензионные данные (рис.7).


Рис.7: Лицензирование антивирусных сигнатур.


И если присмотреться, то можно заметить, что через 120 дней, после установки TMG, защита на вирусы обновляться престанет. Все дело в том, что обновления антивирусных модулей для TMG распространяются в рамках подписки на Forefront Protection for Exchange и стоимость их составляет около 15 долларов в год на пользователя (для TMG Medium Business Edition (который идет в составе Essential Business Server) – 8 долларов).


В результате и получается, что данный вариант защиты от спама и вирусов является «переходным», т. е. через 4 месяца вам придется решать проблему обновления защиты от вирусов.


Фактически, в Microsoft TMG компонент Политики электронной почты ( E- Mail Protection) предоставляет лишь центральное управление для Microsoft Exchange Edge и Forefront Protection for Exchange серверов, когда они размещены на одном сервере, и использовать его без подписки на FPE не целесообразно.


Для полноценной защиты почты от спама и вирусов необходимо приобретать подписку Forefront Protection for Exchange и пользоваться удобной графической консолью со всем возможным функционалом защиты и централизованным управлением.


Загрузить Forefront Protection for Exchange можно по ссылке прямо из мастера установки Exchange 2010, либо TMG (самая первая картинка при запуске установщика)


Рис.8: Установка FPE из мастера установки Exchange.


Что касается конфигурирования FPE 2010, то это достаточно обширная тема и её мы рассмотрим в одной из будущих статей.


Заключение


В статье я попытался раскрыть свое видение вариантов защиты корпоративной почты от спама и вирусов, а также показать процесс установки данных решений. Следующим шагом должна быть настройка самой защиты, о чем я и постараюсь написать в одной из следующих статей.



через меня рассылают спам, exchange 2003


11/05/2005 17:13


> если убрать анонимуса то сервера 192.168.111.25 и 192.168.111.12 перестают пересылать почту


И это правильно


Значит так.


Определись, как локальные пользователи будут отправлять почту:


а). Без SMTP-аутентификации.


б). С SMTP-аутентификацией.


Первое предполагает, что ты знаешь IP-адреса всех почтовых клиентов, которые могут отправлять почту через твой сервер. И что эти IP-адреса не меняются.


И в первом, и во втором случае в окне SMTP Connector Properties выкл ючаешь "Allow messages to be relayed to these domains". Именно эта опция и позволяет рассылать спам через твой сервер.


Если мы выбираем вариант без SMTP-аутентификации, то


1). в окне Authentification вкл ючаешь "Anonymouse access".


2). в окне Relay restrictions в список IP-адресов, для которых разрешено делать relaying, добавляешь IP-адреса своей локальной сети.


Если же мы выбираем вариант с SMTP-аутентификацией (это правильнее), то


1). в окне Authentification вкл ючаешь Basic или Integrated authentification (зависит от почтовых клиентов; Integrated умеют не все).


2). в окне Relay restrictions из списка IP-адресов убираешь все адреса.


3). настраиваешь у клиентов использование SMTP-аутентификации.








style="display:inline-block;width:300px;height:250px"
data-ad-client="ca-pub-6667286237319125"
data-ad-slot="5736897066">

Комментариев нет:

Отправить комментарий