r1k
05-03-2014, 11:28
Добрый день
Имеется локальная сеть (домен, иса 06, екчейндж 2010)
2 дня назад случайно зашел в очередь сообщений на экчейндж и обнаружил картину маслом - в очереди висело порядка 150 000 сообщений на отправку а так же порядка 20000 очередей с этими сообщениями. Все они были от отдного адреса а рассылались на рызные адреса (адрес отправителя был не из моего домена а какой то левый, и рассылались они на левые адреса). Мягко сказать офигев я почистил очередь, все сообщения удалил и на этом и остановился. Почта работала, новые спам сообщения не появлялись, никаких проблем не было.
Вчера утром сервер екчейндж наглухо завис. Перезагрузил его, захожу в очередь и опять вижу там больше 150000 сообщений. От того же отправителя + добавился другой. Опять с горем по полам я почистил очередь, удалив оттуда все левые сообщения. Перезагрузил сервер, проверил на вирусы доктором вебом (был найден 1 зараженный файл и веб его успешно удалил), почта работает, очередь не растет, левые сообщения не появляются.
Было решено помониторить денек другой что точно ничего не появляется. До трех часов ночи все было чисто, а в промежутке с 3 до 4 я зашел на сервер в очередь сообщений и опять обнаружил растущие очереди и отправку сообщений с левых адресов, только теперь их было не 1 или 2 а несколько десятков.
Очередь росла на глазах. Я отключил внешнею сетевую карту, заблокировал на исе 25 порт в локальной сети, но сообщения все равно появлялись новые в очереди. После чего я решил отключить все Соединители отправки транспортного сервера концентратора. Сообщения расти перестали, их удалил и начал по очереди включать каждый соединитель и смотреть после какого из них начнется опять рост очереди, но ничего так и не произошло. Как удалив все в 4 ночи до сих пор ниодного левого сообщения. После этих 2 дней наш домен и ип внесен в несколько блеклистов что очень печально.
Из-за чего может быть такая спам рассылка и как ее запретить ? open relay отключен на сервере.
Прошу помощи, т.к я пока еще не отличный специалист в Exchange 2010. Куда копать и в чем может быть причина?
Заранее спасибо
Вот фото очереди для наглядного представления. Как видно на домене yandex.com висит порядка 80000 сообщений в очереди.
Имеется локальная сеть (домен, иса 06, екчейндж 2010)
2 дня назад случайно зашел в очередь сообщений на экчейндж и обнаружил картину маслом - в очереди висело порядка 150 000 сообщений на отправку а так же порядка 20000 очередей с этими сообщениями. Все они были от отдного адреса а рассылались на рызные адреса (адрес отправителя был не из моего домена а какой то левый, и рассылались они на левые адреса). Мягко сказать офигев я почистил очередь, все сообщения удалил и на этом и остановился. Почта работала, новые спам сообщения не появлялись, никаких проблем не было.
Вчера утром сервер екчейндж наглухо завис. Перезагрузил его, захожу в очередь и опять вижу там больше 150000 сообщений. От того же отправителя + добавился другой. Опять с горем по полам я почистил очередь, удалив оттуда все левые сообщения. Перезагрузил сервер, проверил на вирусы доктором вебом (был найден 1 зараженный файл и веб его успешно удалил), почта работает, очередь не растет, левые сообщения не появляются.
Было решено помониторить денек другой что точно ничего не появляется. До трех часов ночи все было чисто, а в промежутке с 3 до 4 я зашел на сервер в очередь сообщений и опять обнаружил растущие очереди и отправку сообщений с левых адресов, только теперь их было не 1 или 2 а несколько десятков.
Очередь росла на глазах. Я отключил внешнею сетевую карту, заблокировал на исе 25 порт в локальной сети, но сообщения все равно появлялись новые в очереди. После чего я решил отключить все Соединители отправки транспортного сервера концентратора. Сообщения расти перестали, их удалил и начал по очереди включать каждый соединитель и смотреть после какого из них начнется опять рост очереди, но ничего так и не произошло. Как удалив все в 4 ночи до сих пор ниодного левого сообщения. После этих 2 дней наш домен и ип внесен в несколько блеклистов что очень печально.
Из-за чего может быть такая спам рассылка и как ее запретить ? open relay отключен на сервере.
Прошу помощи, т.к я пока еще не отличный специалист в Exchange 2010. Куда копать и в чем может быть причина?
Заранее спасибо
Вот фото очереди для наглядного представления. Как видно на домене yandex.com висит порядка 80000 сообщений в очереди.