[Oleg Krylov]

первый и главный вопрос: открыт ли исходящий траффик TCP 25 кому-то, кроме Exchange Server на корпоративном файрволле?
Второй и тоже главный вопрос: проверьте свой сервер на Open Relay. Например тут: http://mxtoolbox.com/diagnostic.aspx

Цитата marishikko:

Сменить пароль на Microsoft Exсhange не дает. »

А это что такое и какое отношение имеет к данной проблеме?

Цитата marishikko:

Что делать? »

"Не ссать!" © Поможем.

[marishikko]

Цитата:

первый и главный вопрос: открыт ли исходящий траффик TCP 25 кому-то, кроме Exchange Server на корпоративном файрволле?

файрволла нет, 25 порт открыт, наверное всем...так что полный open relay)))

Цитата:

А это что такое и какое отношение имеет к данной проблеме?

Я имела ввиду пароль от учетки почты.

[Oleg Krylov]

Цитата marishikko:

файрволла нет, 25 порт открыт, наверное всем...так что полный open relay))) »

Обычно это основная проблема в малых предприятиях. Сценарий прост до одури: кто-то из внутренних товарищей поймал троян и тот, найдя открытый порт 25, начал слать тонны спама. И основные проблемы еще впереди. Кроме претензий от провайдера, ваш внешний IP с очень высокой долей вероятности окажется почти во всех RBL (Real-time Block List) мира. Т.е. даже легитимную почту от вашего Exchange будут посылать... ну сами понимаете куда.
Что делать: у вас в любом случае стоит маршрутизатор на границе сети, не важно какой он, принцип один и тот же для всех: ЗАКРЫТЬ ИСХОДЯЩИЙ SMTP ДЛЯ ВСЕХ, КРОМЕ ХОСТА С EXCHANGE!!! (очень хочется зажать клавишу "!"). Как это проделать на вашем маршрутизаторе - зависит от маршрутизатора.
Да, смена пароля от почтовой учетной записи вряд ли поможет, т.к. она, скорее всего и не используется. Посмотрите в Message Tracking Center в консоли Exchange System Manager - много ли сообщений уходит через него? Думаю, что немного, ибо зачем городить огород, если есть напрямую доступный канал SMTP?

[marishikko]

Ок, тогда возникают следующие вопросы:

как искать троян? (уже проверяла авирой и dr. web cureIT все компы)
какой файрвол лучше поставить? и как настроиить?
нет пароля от маршрутизатора - главный админ уехал в отпуск.. (а где бабуля? - я за нее..)
самый глупый вопрос - Message Tracking Center - тыкните носом, не могу найти.

некоторые подозрительные рассылки есть и логи, картинки в аттаче.

[dmitryst]

Цитата marishikko:

картинки в аттаче. »

и? микроскопом рассматривать, что ли?

Цитата marishikko:

нет пароля от маршрутизатора - главный админ уехал в отпуск.. »

звоните, пишите, но пароль добудьте.

Цитата marishikko:

как искать троян? »

промониторить пакеты, приходящие на ваш почто-сервер, при помощи, например, WireShark. Там явно пишется, кто заходил, откуда, и что отправлял (примерно). Решение "в лоб" - отключть от сети подозрительных, если спам прекратится - шерстить их вплоть до переустановки

[marishikko]

Цитата dmitryst:

и? микроскопом рассматривать, что ли? »

форум не дает загрузить большие пикселястые картинки

[marishikko]

Так все-таки - что проще? поставить файрвол или искать троян? Вчера, например, если отключать порты не особо важные и нужные, например 31285, которые мониторят спамеры, вообще была дос-атака на порт прокси 8080 и отключился интернет.
С помощью программки сurrport.exe нашла те удаленные айпи адреса, которые шлют спам, при попытке остановить процесс по тср 25 - они множаться и подключаются к другим портам.

[Oleg Krylov]

Проще и правильнее поставить файрвол (или настроить access list на маршрутизаторе), если клиентам внутренней сети будет запрещено устанавливать ТСР-соединения на 25 порт внешних серверов - троян не сможет работать.
Плюс обязательно проверьте свой сервер на Open Relay. Проблема может быть и в этом. Проверить либо онлайн-сервисом (ссылка выше в треде), либо вот так: http://support.microsoft.com/kb/324958
Там же описано, как закрыть.

[marishikko]

Цитата Oleg Krylov:

Плюс обязательно проверьте свой сервер на Open Relay. Проблема может быть и в этом. Проверить либо онлайн-сервисом (ссылка выше в треде), либо вот так: http://support.microsoft.com/kb/324958 Там же описано, как закрыть. »

Помогло! Разобралась в настройках!
Ну и проверила еще на шпионы, пару странных удалила и... все работает!!!