Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)
-   -   Exchange 2010 массовая спам рассылка с сервера (http://forum.oszone.net/showthread.php?t=278751)

r1k 05-03-2014 11:28 2319365
Exchange 2010 массовая спам рассылка с сервера
 
Вложений: 1
Добрый день

Имеется локальная сеть (домен, иса 06, екчейндж 2010)

2 дня назад случайно зашел в очередь сообщений на экчейндж и обнаружил картину маслом - в очереди висело порядка 150 000 сообщений на отправку а так же порядка 20000 очередей с этими сообщениями. Все они были от отдного адреса а рассылались на рызные адреса (адрес отправителя был не из моего домена а какой то левый, и рассылались они на левые адреса). Мягко сказать офигев я почистил очередь, все сообщения удалил и на этом и остановился. Почта работала, новые спам сообщения не появлялись, никаких проблем не было.

Вчера утром сервер екчейндж наглухо завис. Перезагрузил его, захожу в очередь и опять вижу там больше 150000 сообщений. От того же отправителя + добавился другой. Опять с горем по полам я почистил очередь, удалив оттуда все левые сообщения. Перезагрузил сервер, проверил на вирусы доктором вебом (был найден 1 зараженный файл и веб его успешно удалил), почта работает, очередь не растет, левые сообщения не появляются.

Было решено помониторить денек другой что точно ничего не появляется. До трех часов ночи все было чисто, а в промежутке с 3 до 4 я зашел на сервер в очередь сообщений и опять обнаружил растущие очереди и отправку сообщений с левых адресов, только теперь их было не 1 или 2 а несколько десятков.
Очередь росла на глазах. Я отключил внешнею сетевую карту, заблокировал на исе 25 порт в локальной сети, но сообщения все равно появлялись новые в очереди. После чего я решил отключить все Соединители отправки транспортного сервера концентратора. Сообщения расти перестали, их удалил и начал по очереди включать каждый соединитель и смотреть после какого из них начнется опять рост очереди, но ничего так и не произошло. Как удалив все в 4 ночи до сих пор ниодного левого сообщения. После этих 2 дней наш домен и ип внесен в несколько блеклистов что очень печально.

Из-за чего может быть такая спам рассылка и как ее запретить ? open relay отключен на сервере.

Прошу помощи, т.к я пока еще не отличный специалист в Exchange 2010. Куда копать и в чем может быть причина?

Заранее спасибо

Вот фото очереди для наглядного представления. Как видно на домене yandex.com висит порядка 80000 сообщений в очереди.

cameron 05-03-2014 11:49 2319379
Цитата:
Цитата r1k
Все они были от отдного адреса а рассылались на рызные адреса (адрес отправителя был не из моего домена а какой то левый, и рассылались они на левые адреса) »
найдите SMTP log и посмотрите от какого авторизованного пользователя идёт отправка.
адрес отправителя =/ авторизованный пользователь.
возможно у вас есть учётка типа test с паролем 123456 через которую всё и шлют.

r1k 05-03-2014 12:35 2319402
Цитата:
Цитата cameron
найдите SMTP log и посмотрите от какого авторизованного пользователя идёт отправка.
адрес отправителя =/ авторизованный пользователь.
возможно у вас есть учётка типа test с паролем 123456 через которую всё и шлют. »
Правильно ли я понимаю что эти логи находятся в C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking ?

cameron 05-03-2014 12:43 2319404
r1k,
http://www.computerperformance.co.uk..._2010_logs.htm
http://exchangepedia.com/2007/05/exc...-activity.html


Время: 19:49.

Время: 19:49.
© OSzone.net 2001-