Войти

Показать полную графическую версию : [решено] Спам через сервер


garrygraf
10-01-2013, 16:17
Люди ПОМОГИТЕ. Не могу понять что случилось, через сервер (Exchange 2003) начал пересылаться спам, в неимоверном количестве, что могло случиться ума не приложу.
В очередях просто караул. Куда смотреть, что делать?

Oleg Krylov
10-01-2013, 16:26
В первую очередь смотреть отправителя. Если это внешний (не принадлежащий организации Exchange) - смотреть сюда: http://support.microsoft.com/kb/324958

garrygraf
10-01-2013, 16:59
Все так и есть, по настройкам. Relay закрыт.

вот пример http://www.rbl.jp/cgi-bin/svcheck.cgi?hostname=46.165.232.69&lang=en

может это быть связано, с тем, что кто то из пользователей засветил свой пароль?

Oleg Krylov
10-01-2013, 17:02
Отправитель-то кто?

garrygraf
10-01-2013, 17:14
Может туплю. А где смотреть?

Oleg Krylov
10-01-2013, 17:29
В любой из очередей. Откройте ее и нажмите Enumerate Messages. Покажутся сами сообщения, вот в свойствах сообщений и смотрите. Это не обязательно может быть спам, могут быть NDR.

garrygraf
10-01-2013, 18:14
отключил протокол POP3 все прекратилось, странно как то. Теперь письма на gmail.com не уходят, пишет "Our system has detected an unusual rate of"

Oleg Krylov
11-01-2013, 09:39
отключил протокол POP3 все прекратилось, странно как то. »
Ничего странного. Значит спамил кто-то из клиентов. Отключение сервера вообще решило бы проблему гарантировано. Вместо того, чтобы найти учетную запись одного человека, через которую происходила рассылка и отключить ее (или, элементарно, сменить ей пароль) вы отключили сервис для всех.
gmail.com не уходят, пишет "Our system has detected an unusual rate of" »
Результат рассылки спама. Раз Open Relay был выключен, значит спам рассылался аутентифицированным пользователем. Его надо искать и выяснять причину, возможно на клиентской машине банальный почтовый троян.

garrygraf
11-01-2013, 13:49
Спасибо за советы, буду выяснять кто спамил.
Последний вопрос, как быть теперь с тем что из за спама на многие адреса как и на gmail.com не уходят письма, как теперь это исправить?

Oleg Krylov
11-01-2013, 15:33
Ищете свой IP в http://www.dnsbl.info/, пишете держателю Black List письмо, с просьбой удалить ваш IP. Письмо обычно пишется на английском.
Второй вариант - смена внешнего IP.
Третий вариант - аренда смарт-хоста для релея.

garrygraf
11-01-2013, 18:20
Огромное спасибо, за исчерпывающие ответы.

zai
14-01-2013, 16:50
garrygraf, есть почтовые скрипты (типа вирусов), которые через почту пользователя способны проникать на почтовые сервера и отправлять спам, посмотри в папке, в которой установлен почтовый сервер, нет ли новых (по дате) файлов с расширением eml.

garrygraf
14-01-2013, 17:56
Добрый день все.
Вопрос оказался не до конца закрытам.
На некоторые сервера, как я и писал к примеру gmail.com почта не уходит (я так понимаю сие связано с тем что мы попали в черный список).
Вот что возвращается

garrygrafwolf3d@gmail.com 14.01.2013 15:52
Ошибка связи с сервером электронной почты получателя по протоколу SMTP. Обратитесь к системному администратору.
<mailsu.ici-suisse.com #5.5.0 smtp;550-5.7.1 [46.165.232.69 1] Our system has detected an unusual rate of>


Смотрел в интернете где находимся в спам листах, сказали что будем удалены автоматически (ждать нету сил народ, рвет меня на части).
Буду наверно ставить на сервер другой IP (благо дело есть такой, надеюсь поможет).
В логах появились постоянные ошибки MSExchangeTransport 7004 и 7010

Event Type: Error
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 7004
Date: 14.01.2013
Time: 14:03:00
User: N/A
Computer: MAILSU
Description:
This is an SMTP protocol error log for virtual server ID 1, connection #648. The remote host "85.17.237.35", responded to the SMTP command "xexch50" with "504 Need to authenticate first ". The full command sent was "XEXCH50 2556 2 ". This will probably cause the connection to fail.

For more information, click http://www.microsoft.com/contentredirect.asp.

Event Type: Error
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 7010
Date: 14.01.2013
Time: 14:03:26
User: N/A
Computer: MAILSU
Description:
This is an SMTP protocol log for virtual server ID 1, connection #649. The client at "77.88.202.42" sent a "xexch50" command, and the SMTP server responded with "504 Need to authenticate first ". The full command sent was "xexch50 1028 2". This will probably cause the connection to fail.

For more information, click http://www.microsoft.com/contentredirect.asp.




© OSzone.net 2001-2012