исходящий спам
 

Доброго дня. Одна надежда на мой любимый форум.
Windows Server 2003 + Exchange 2003 + OWA
шлюз в интернет через ISA 2004
вот логи с ISЫ:

вот netstat -b c почтового сервера



и вот нашёл в почтовом сервере:

Релей разрешён только на один IP - факс - отправляющий письма.
Но я думаю, его врятли можно использовать для отправки спама.
Помогите побороть исходящий спам.

в нутри сети зараженная машина или сам почтарь заражен

это врядли, netstat не показывает обращения к серверу от других машин.
возможно. прошёл Каспером 6 для серверов - 0.
Есть подозрения на процесс inetinfo.exe. Он нужен для IIS, для OWA. Никак не могу найти, где одну OWA остановить.
Остановка сервиса SMTP - и нет спама... Но нам то почта нужна...

exo, Хотя программы исследования предназначены для ХР, но все ж логи желательно.

странно, отключил World Wide Web Publishing Service и почта перестала ходить... Как они связанны? кроме OWA.
попробую.
и так - сервер перезагружать нет возможности - с ним работают круглосуточно (из разных регионов).
А все утилиты требуют перезагрузки.
А что, виндовых логов не достаточно? Нет виндовых инструментов поиска сетевой активности?

вот логи, гляньте, пожалуйтса.
virusinfo_cure.zip - пустой.

[44616] \??\c:\windows\system32\winlogon.exe
Вроде бы не должен он порт открывать? Хотя на сервере...
Сейчас посмотрим.
А ты уверен, что траф идет от сервера, а не сквозь?
Ты CureIt можешь запустить просканировать?

уверен, netstat -a не показывает соеденения с другими компами.

вот какие логи SMTP:

явно Релей работает!!! но он отключён!!!

exo, выложите скрины свойства default smtp server - access - relay. Так, чтобы уже быть твердо уверенными.
Что за IP 192.168.0.223 ? и 85.21.99.202 ?

сейчас проверяю.
внутренний IP сервера.
IP при публикации сервера.

скачал прогу Malwarebytes' Anti-Malware - показала заражённый реестр - удалил - не помогло...
упс... где-то накасячил - почта не приходит...
вопрос: если два SMTP сервера виртуальных - должны ли быть у них разные IP настройки?

вопрос: можно ли средствами Exchangе блокировать письма содержащие текст "http" ? как входящие, так и исходящие.

Ну это естественно.. какой еще зараженный реестр. Как ты себе это представляешь?
Больше не качай разные antimalware, которые сами malware те еще.. Убьешь сервер.
По поводу сервака ничего не могу подсказать, потому как нульс..

там был параметр - 0, а на форумах на всяких написанно должен 1 .

Вопрос, стоит GFI спам фильтр, там есть фишка рубить письма если они содержат в заголовке\тексте определённые слова (KeyWord Checking). Но вот беда, пишу туда русскими буквами - а перезахожу - там кракозябры.

:(
я уже писал о ситуации когда мне приходит письмо:


в параметрах письма вот что:

Но! Мой ящик не sales !!! У нас в домене вообще нет ящика sales !!! я уже три месяца не могу запретить такие письма... Пожалуйста, помогите, или мой мозг этого не вынесет...
и ещё вопрос:
есть значит в SMTP sender фильтр - туда прописываются домены, с которых не принимать почту.
А можно ли прописать наоборот? Запретить всё, но разрешить определённые?
К примеру разрешить gmail.com, но запретить все остальные *.com ?

exo, по поводу GFI - удалять письма, адресатов которых нет в AD - это фильтр Directory Harvesting. Настраиваешь его на свой AD, и в свойствах ACtion - delete.
GFI не работает с русскими словами в фильтрах *Checking.


добавить в Whitelist маску *@gmail.com, а в custom blacklist - *@*.com. Причем сначала должна идти обработка Whitelist (выше приоритет должен быть).
А вообще по поводу спама и GFI -
P.S. Если нужна помощь по GFI, пиши в личку, я у себя его разобрал по полочкам, отстроил.

А данные то прут от него.... Давай скрины :)

нашёл - настроенно уже. Проверял тестом - работает. Отсутствующие ящики пишет - нот фаунд, а те, которые есть - фаунд. Т.е. должно работать, но не работает.
:(
попробую.
:)

хм...
Установил ТМетер - смотрю трафик SMTP - он появляется если отправлять письма на внешнюю почту, а если внутри домена - то трафика нет. Т.к. ТМетер постоянно молчит (за выходные реально никто не пишет), то значит исходящего спама нет. Можно ли сделать такой вывод?
Вопрос два: сейчас приходит спам от ANY_MANE@MY_DOMAIN.RU. Т.е. от нашего же сервера от несуществующих ящиков. Как такое побороть?

А кто-нибудь работает с Касперским Секьюрити для 2003 сервера?

>rcpt to:nonexistentuser@exchangerus.ru
<550 5.1.1 User unknown
значит всё работает.
Но читал, что при отсылке писем внутри домена - SMTP сервер не используется. (поэтому и TMeter не регит трафик)
Т.е. письмо уходит из Аутлука в Аутлук. Нужно искать вирусы на клиентах.

:ok: :nhl_fight :vampire: :threaten: :butcher: :dwarf: :nhl_check :bad: :moderator :maniac:
такс... нашёл у одного пользователя кучу троянов mail.

можно было неделю назад решить проблемы ;)

так я до конца не верил в это... :(

Еще один довод в пользу того, что пользователи - наша головная боль! :D Шутка конечно же.

Severny, Butunin Klim, у exo было множество других проблем с Exchange, которые удалось решить путем переписки со мной и Oleg Krylov по ICQ :) Так что обнаружение клиентов стало лишь завершающим шагом :)

осталось обнаружить! компов около 100... потихоньку буду, жаль не у всех компы хорошие. Не везде каспера могу поставить.

Butunin Klim, мне Delirium, про GFI объяснил что-там к чему-там.
Только странно GFI не работает у меня. :( пришлось временно другой антиспам ставить...

exo, опишите в чем Ваша проблема с GFI

настроен
сервисы включенны
но спам к нам приходит - не работает правило блек-листов. В других я тоже сомневаюсь.

сломалось примерно неделю назад. т.е. всё раньше работало.

Фильтр Байеса включен? Версия какая?

12
Байес - включён - предпоследним правилом в порядке очереди.

Номер сборки, если можно. Сколько легитимных записей в Байесе?

5195
спамных - 69к
это где глянуть? только вижу 12.0

Мало. Скорее всего из-за этого и встал. Вы его сразу включили? После установки? Удалите его, удалив обязательно папки в Program Files. Потом поставьте заново. Фильтр Байеса не включайте, пока число легитимных записей не достигнет хотя бы 20 тыс. Хоть производитель и рекомендует 4 тыс, но этого все равно мало. Именно так я с этим и боролся всегда.

Oleg Krylov,
так это. GFI же работал-работал, и вот в один не прекрасный день перестал. А работал он уже давно (больше полугода точно).
Я даже не знаю где у нас инстолятор лежит :(

Butunin Klim, если бы мы общались тут, вышел бы мини чат листов на 10, а результата бы не видно было. Основная проблема была в том, что у exo было 2 SMTP коннектора, на первом был открыт релей, а на втором был разрешен только через 1 IP - факс-модем сетевой. Вот через открытый релей и шли письма. КОгда их закрыли, выяснили, что спам идет от клиентов.
По поводу Exchange - у меня базы Байеса гораздо меньше указанных вами размеров, но работают неплохо. GFI версия 12.0. 20060127

кстати, тебе так и не пришёл в почту факс ?

вопрос: как сделать бекап настроек GFI ? я буду его удалять, и переустанавливать...

Экспорт каждого правила по отдельности в XML + бекап баз *.MDB из папки с GFI.

Прикол хотите? Экспортировать нужно только списки белого листа. Остальное при удалении сохраняется. Условие - удалять штатным методом, через Установку\Удаление программ. И не трогайте реестр и папки в Programm Files.

Oleg Krylov, это то да, есть такой прикол, но exo может на другую машину ставить будет, потому и сказал - бекапы всего что можно :)

туда же. почтовик то не буду перносить. прикол в том, с нерабочий GFI может из-за тех папок, которые не нужно удалять...

Delirium, Oleg Krylov, вообщем у меня GFI отключился из-за того, что он был настроен на виртуальный SMTP, ну а я его по незнанию отключил... вообщем сейчас настраиваем ORF...