Доброго дня. Одна надежда на мой любимый форум.
Windows Server 2003 + Exchange 2003 + OWA
шлюз в интернет через ISA 2004
вот логи с ISЫ:
http://www.exonix.ru/log-isa.jpg
вот netstat -b c почтового сервера

TCP exch:27493 DC1.domain.local:1025 ESTABLISHED 20904
[mad.exe]

TCP exch:29949 DC1.domain.local:3268 ESTABLISHED 23872
[store.exe]

TCP exch:30087 DC1.domain.local:ldap ESTABLISHED 20904
[mad.exe]

TCP exch:30094 DC1.domain.local:3268 ESTABLISHED 3832
[wmiprvse.exe]

TCP exch:30101 DC1.domain.local:3268 ESTABLISHED 24572
[emsmta.exe]

TCP exch:30240 DC1.domain.local:ldap ESTABLISHED 20904
[mad.exe]

TCP exch:31263 DC1.domain.local:3268 ESTABLISHED 41080
[inetinfo.exe]

TCP exch:31390 exch.domain.local:691 ESTABLISHED 23872
[store.exe]

TCP exch:31391 exch.domain.local:691 ESTABLISHED 3832
[wmiprvse.exe]

TCP exch:31396 exch.domain.local:691 ESTABLISHED 24572
[emsmta.exe]

TCP exch:32535 exch.domain.local:691 ESTABLISHED 41080
[inetinfo.exe]

TCP exch:32538 DC2.domain.local:ldap ESTABLISHED 41080
[inetinfo.exe]

TCP exch:32540 DC2.domain.local:ldap ESTABLISHED 41080
[inetinfo.exe]

TCP exch:32541 DC1.domain.local:3268 ESTABLISHED 41080
[inetinfo.exe]

TCP exch:32543 DC2.domain.local:ldap ESTABLISHED 41080
[inetinfo.exe]

TCP exch:32545 DC1.domain.local:3268 CLOSE_WAIT 41080
[inetinfo.exe]

TCP exch:32546 DC1.domain.local:3268 CLOSE_WAIT 41080
[inetinfo.exe]

TCP exch:32547 DC1.domain.local:3268 CLOSE_WAIT 41080
[inetinfo.exe]

TCP exch:32553 DC1.domain.local:3268 CLOSE_WAIT 41080
[inetinfo.exe]

TCP exch:32554 DC1.domain.local:3268 CLOSE_WAIT 41080
[inetinfo.exe]

TCP exch:32703 DC2.domain.local:ldap CLOSE_WAIT 20904
[mad.exe]

TCP exch:smtp dsl-243-111-25.telkomadsl.co.za:59645 TIME_WAIT
0
TCP exch:smtp 58.146.223.37:20966 TIME_WAIT 0
TCP exch:smtp 62.118.175.6:52866 TIME_WAIT 0
TCP exch:smtp static-68-162-86-174.phil.east.verizon.net:2445
TIME_WAIT 0
TCP exch:smtp mail.TERRACOMPANY.com:50334 TIME_WAIT 0
TCP exch:smtp pool-72-92-89-212.phlapa.fios.verizon.net:52760
TIME_WAIT 0
TCP exch:smtp ppp78-37-151-209.pppoe.avangarddsl.ru:54963 TIM
E_WAIT 0
TCP exch:smtp adsl-dyn60.78-99-126.t-com.sk:48049 TIME_WAIT
0
TCP exch:smtp adsl-dyn140.78-99-144.t-com.sk:52751 TIME_WAIT
0
TCP exch:smtp g64148.upc-g.chello.nl:3476 TIME_WAIT 0
TCP exch:smtp 82-138-50-82.amigos.ncp.ru:3043 TIME_WAIT
0
TCP exch:smtp Univer-neft.Moscow.access.comstar.ru:59394 TIME
_WAIT 0
TCP exch:smtp 87-205-69-171.adsl.inetia.pl:56249 TIME_WAIT
0
TCP exch:smtp 88.235.40.77:28745 TIME_WAIT 0
TCP exch:smtp 88.252.148.55:52326 TIME_WAIT 0
TCP exch:smtp 92.83.78.92:12029 TIME_WAIT 0
TCP exch:smtp shpd-92-101-147-162.vologda.ru:59163 TIME_WAIT
0
TCP exch:smtp 5-128-113-92.pool.ukrtel.net:2233 TIME_WAIT
0

и вот нашёл в почтовом сервере:
http://www.exonix.ru/4to.jpg
Релей разрешён только на один IP - факс - отправляющий письма.
Но я думаю, его врятли можно использовать для отправки спама.
Помогите побороть исходящий спам.

в нутри сети зараженная машина или сам почтарь заражен

в нутри сети зараженная машина »
это врядли, netstat не показывает обращения к серверу от других машин.
сам почтарь заражен »
возможно. прошёл Каспером 6 для серверов - 0.
Есть подозрения на процесс inetinfo.exe. Он нужен для IIS, для OWA. Никак не могу найти, где одну OWA остановить.
Остановка сервиса SMTP - и нет спама... Но нам то почта нужна...

exo, Хотя программы исследования предназначены для ХР, но все ж логи (http://forum.oszone.net/thread-98169.html) желательно.

странно, отключил World Wide Web Publishing Service и почта перестала ходить... Как они связанны? кроме OWA.
но все ж логи желательно. »
попробую.
и так - сервер перезагружать нет возможности - с ним работают круглосуточно (из разных регионов).
А все утилиты требуют перезагрузки.
А что, виндовых логов не достаточно? Нет виндовых инструментов поиска сетевой активности?

вот логи, гляньте, пожалуйтса.
virusinfo_cure.zip - пустой.

[44616] \??\c:\windows\system32\winlogon.exe
Вроде бы не должен он порт открывать? Хотя на сервере...
Сейчас посмотрим.
А ты уверен, что траф идет от сервера, а не сквозь?
Ты CureIt можешь запустить просканировать?

А ты уверен, что траф идет от сервера, а не сквозь? »
уверен, netstat -a не показывает соеденения с другими компами.

вот какие логи SMTP:
2008-08-19 17:04:19 70.77.142.65 S01060050ba4fbd7a.ca.shawcable.net SMTPSVC2 INFO4 192.168.0.223 0 MAIL - +From:<contamaribel@infasa.net> 454 0 74 35 0 SMTP - - - -
2008-08-19 17:04:19 70.77.142.65 S01060050ba4fbd7a.ca.shawcable.net SMTPSVC2 INFO4 192.168.0.223 0 QUIT - S01060050ba4fbd7a.ca.shawcable.net 240 500 74 35 0 SMTP - - - -
2008-08-19 17:04:21 78.145.42.240 [78.145.42.240] SMTPSVC2 INFO4 192.168.0.223 0 EHLO - +[78.145.42.240] 250 0 309 20 2282 SMTP - - - -
2008-08-19 17:04:21 78.145.42.240 [78.145.42.240] SMTPSVC2 INFO4 192.168.0.223 0 MAIL - +FROM:<Sanford-handener@shadyneighbor.com> 454 0 74 56 0 SMTP - - - -
2008-08-19 17:04:21 78.145.42.240 [78.145.42.240] SMTPSVC2 INFO4 192.168.0.223 0 QUIT - [78.145.42.240] 240 2468 74 56 0 SMTP - - - -
2008-08-19 17:04:23 71.85.119.3 71-85-119-003.dhcp.spbg.sc.charter.com SMTPSVC2 INFO4 192.168.0.223 0 EHLO - +71-85-119-003.dhcp.spbg.sc.charter.com 250 0 307 43 172 SMTP - - - -
2008-08-19 17:04:23 71.85.119.3 71-85-119-003.dhcp.spbg.sc.charter.com SMTPSVC2 INFO4 192.168.0.223 0 MAIL - +FROM:<lucho-rehef@ifn.nl> 454 0 74 40 0 SMTP - - - -
2008-08-19 17:04:23 71.85.119.3 71-85-119-003.dhcp.spbg.sc.charter.com SMTPSVC2 INFO4 192.168.0.223 0 QUIT - 71-85-119-003.dhcp.spbg.sc.charter.com 240 516 74 40 0 SMTP - - - -
явно Релей работает!!! но он отключён!!!

exo, выложите скрины свойства default smtp server - access - relay. Так, чтобы уже быть твердо уверенными.
Что за IP 192.168.0.223 ? и 85.21.99.202 ?

Ты CureIt можешь запустить просканировать »
сейчас проверяю.
192.168.0.223 »
внутренний IP сервера.
85.21.99.202 »
IP при публикации сервера.

скачал прогу Malwarebytes' Anti-Malware - показала заражённый реестр - удалил - не помогло...
упс... где-то накасячил - почта не приходит...
вопрос: если два SMTP сервера виртуальных - должны ли быть у них разные IP настройки?

вопрос: можно ли средствами Exchangе блокировать письма содержащие текст "http" ? как входящие, так и исходящие.

показала заражённый реестр - удалил - не помогло.. »
Ну это естественно.. какой еще зараженный реестр. Как ты себе это представляешь?
Больше не качай разные antimalware, которые сами malware те еще.. Убьешь сервер.
По поводу сервака ничего не могу подсказать, потому как нульс..

Ну это естественно.. какой еще зараженный реестр. Как ты себе это представляешь? »
там был параметр - 0, а на форумах на всяких написанно должен 1 .

Вопрос, стоит GFI спам фильтр, там есть фишка рубить письма если они содержат в заголовке\тексте определённые слова (KeyWord Checking). Но вот беда, пишу туда русскими буквами - а перезахожу - там кракозябры.

:(
я уже писал о ситуации когда мне приходит письмо:

http://www.exonix.ru/1.JPG
в параметрах письма вот что:
Microsoft Mail Internet Headers Version 2.0
Received: from ip45.net893185.rev.numericable.fr ([89.3.185.45]) by info4.domain.local with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 20 Aug 2008 19:11:15 +0400
From: "=?koi8-r?B?dmVudGVybg==?=" <pxhps@gogo.ru>
Subject: =?koi8-r?B?8+nz9OXt+SD35e706ezx4+npLCDr7+7k6ePp7+7p8u/34e7p8S4=?=
Date: Wed, 20 Aug 2008 19:09:21 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_07BD_01C901E8.7CC0A450"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Message-ID: <34fd01c902d6$b937f980$e443a8c0@ip45.net893185.rev.numericable.fr>
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
To: sales@domain.local.ru
Return-Path: pxhps@gogo.ru
X-OriginalArrivalTime: 20 Aug 2008 15:11:15.0557 (UTC) FILETIME=[FD78A950:01C902D6]

------=_NextPart_000_07BD_01C901E8.7CC0A450
Content-Type: text/plain;
charset="koi8-r"
Content-Transfer-Encoding: quoted-printable

------=_NextPart_000_07BD_01C901E8.7CC0A450
Content-Type: text/html;
charset="koi8-r"
Content-Transfer-Encoding: quoted-printable


------=_NextPart_000_07BD_01C901E8.7CC0A450--
Но! Мой ящик не sales !!! У нас в домене вообще нет ящика sales !!! я уже три месяца не могу запретить такие письма... Пожалуйста, помогите, или мой мозг этого не вынесет...
и ещё вопрос:
есть значит в SMTP sender фильтр - туда прописываются домены, с которых не принимать почту.
А можно ли прописать наоборот? Запретить всё, но разрешить определённые?
К примеру разрешить gmail.com, но запретить все остальные *.com ?

exo, по поводу GFI - удалять письма, адресатов которых нет в AD - это фильтр Directory Harvesting. Настраиваешь его на свой AD, и в свойствах ACtion - delete.
опрос, стоит GFI спам фильтр, там есть фишка рубить письма если они содержат в заголовке\тексте определённые слова (KeyWord Checking). Но вот беда, пишу туда русскими буквами - а перезахожу - там кракозябры. »
GFI не работает с русскими словами в фильтрах *Checking.


К примеру разрешить gmail.com, но запретить все остальные *.com ? »

добавить в Whitelist маску *@gmail.com, а в custom blacklist - *@*.com. Причем сначала должна идти обработка Whitelist (выше приоритет должен быть).
А вообще по поводу спама и GFI -
P.S. Если нужна помощь по GFI, пиши в личку, я у себя его разобрал по полочкам, отстроил.

внутренний IP сервера. »
А данные то прут от него.... Давай скрины :)

Directory Harvesting »
нашёл - настроенно уже. Проверял тестом - работает. Отсутствующие ящики пишет - нот фаунд, а те, которые есть - фаунд. Т.е. должно работать, но не работает.
GFI не работает с русскими словами в фильтрах *Checking »
:(
добавить в Whitelist маску *@gmail.com, а в custom blacklist - *@*.com. Причем сначала должна идти обработка Whitelist (выше приоритет должен быть). »
попробую.
пиши в личку »
:)

я стукнулся в аську... жду ответа...

хм...
Установил ТМетер - смотрю трафик SMTP - он появляется если отправлять письма на внешнюю почту, а если внутри домена - то трафика нет. Т.к. ТМетер постоянно молчит (за выходные реально никто не пишет), то значит исходящего спама нет. Можно ли сделать такой вывод?
Вопрос два: сейчас приходит спам от ANY_MANE@MY_DOMAIN.RU. Т.е. от нашего же сервера от несуществующих ящиков. Как такое побороть?

А кто-нибудь работает с Касперским Секьюрити для 2003 сервера?

Вопрос два: сейчас приходит спам от ANY_MANE@MY_DOMAIN.RU. Т.е. от нашего же сервера от несуществующих ящиков. Как такое побороть? »

http://www.exchangerus.ru/2008/08/15/exchange-2007-ne-rabotaet-proverka-poluchatelej-v-ad/#more-693

http://www.exchangerus.ru/2008/08/15...v-ad/#more-693 »
>rcpt to:nonexistentuser@exchangerus.ru
<550 5.1.1 User unknown
значит всё работает.
Но читал, что при отсылке писем внутри домена - SMTP сервер не используется. (поэтому и TMeter не регит трафик)
Т.е. письмо уходит из Аутлука в Аутлук. Нужно искать вирусы на клиентах.