服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 列入黑名单的交换2003
Intereting Posts
如何提高Windows 7的NTP保真度 为什么服务器在closures之后发送RST包到客户端? 升级后CIFS斜杠变成反斜杠 Debian的stream程像疯狂吃带宽…不去寻找它 Windows Server 2012 R2上的OpenGL 我怎么能dynamic改变IP地址 奇数mdadm输出:–examine显示arrays状态失败,–detail显示一切干净 目前的状态监测和故障预测系统的缺点 其中一个RHEL债券的奴隶不起作用 数据中心自动化工具和Novell Suse Linux? 尝试将Azure AD作为LDAP服务器与Cisco Catalyst IP Base一起使用 我如何获得其他人拥有的域名? SMB文件传输是否使用持续连接? 桥接两个数据中心 丢弃CC收件人

列入黑名单的交换2003

我们的防火墙大约在3周前失败了,在被replace之后,我们被放置在“cbl.abuseat.org”垃圾邮件黑名单上。 一旦我们获得了新的防火墙和configuration,我们就能够获得不公开的。 现在大约2周后,我们再次上市。 这里是我们的configuration信息和我们已经尝试过。

Win2K3 – 通过防火墙的Exchange 2003。 防火墙被设置为拒绝从我们的交换服务器上除了SMTPstream量(最初不限于端口25)之外的所有SMTPstream量。 我们的110客户端XP机器正在运行迈克菲,并设置为不允许发送smtpstream量(我已经看到这个工作,所以我相当有信心工作)。 直到昨天我们再次被列入黑名单,这足够好。

与我们的防火墙供应商合作,我们现在只允许交换服务器的端口25上的SMTP通信。 所有其他SMTPstream量被阻止离开我们的networking。 看起来邮件是从我们的交换服务器上奇怪的端口,如.23111,是否正确(见第一组日志信息)? 但是我不确定最新的日志是否已经被修正。 另外,垃圾邮件机器人可以通过端口25上的交换服务器发送垃圾邮件吗? 如果是这样,它可以停止而不发现垃圾邮件机器人? 我们正在寻找垃圾邮件机器人,但没有任何运气。

谢谢你的帮助。

我运行tcpdump并获得了下面的信息,然后再进行最新的防火墙更改: 

16:54.8 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 263, win 65273, length 0 16:55.7 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4221, win 14600, length 12 16:55.7 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [P.], ack 275, win 65261, length 6 16:56.0 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4221, win 14600, length 12 16:56.0 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 275, win 65261, length 0 16:56.1 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4227, win 14600, length 21 16:56.1 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [F.], seq 296, ack 4227, win 14600, length 0 16:56.1 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 297, win 65240, length 0 16:56.1 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [F.], seq 4227, ack 297, win 65240, length 0 16:56.6 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [.], ack 4228, win 14600, length 0 16:57.7 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [S], seq 3560091943, win 65535, options [mss 1460,nop,nop,sackOK], length 0 16:58.0 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [S.], seq 3962637029, ack 3560091944, win 5840, options [mss 1380,nop,nop,sackOK], length 0 16:58.0 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [.], ack 1, win 65535, length 0 16:58.1 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [P.], ack 1, win 5840, length 20 16:58.1 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [P.], ack 21, win 65515, length 33 16:58.2 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [.], ack 34, win 5840, length 0 16:58.2 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [P.], ack 34, win 5840, length 20

这是我在防火墙更改后得到的: 

 01:52.6 IP our-exchange.our-domain.com.17177 > our-domaincontroller.our-domain.com.53: 12044+ A? mail.painclinic-nw.com. (40) 01:52.6 IP our-exchange.our-domain.com.15727 > our-domaincontroller.our-domain.com.53: 12285+ A? mail.snyders-han.com. (38) 01:52.7 IP 99-53-214-98.lightspeed.genvil.sbcglobal.net.1770 > our-exchange.our-domain.com.443: Flags [.], ack 570, win 16380, length 0 01:52.9 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 49 01:52.9 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 197 01:52.9 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58065: Flags [.], ack 1503, win 64573, length 0 01:52.9 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58068: Flags [P.], ack 1, win 64649, length 149 01:52.9 IP ggadke.our-domain.com.1203 > our-exchange.our-domain.com.1025: Flags [.], ack 1, win 65016, length 1 01:52.9 IP our-exchange.our-domain.com.1025 > ggadke.our-domain.com.1203: Flags [.], ack 1, win 65269, length 0 01:52.9 IP dwhite.our-domain.com.1215 > our-exchange.our-domain.com.1025: Flags [.], ack 1631, win 65535, length 1 01:52.9 IP our-exchange.our-domain.com.1025 > dwhite.our-domain.com.1215: Flags [.], ack 2574, win 64590, length 0 01:52.9 IP vbejin.our-domain.com.1282 > our-exchange.our-domain.com.1025: Flags [.], ack 1, win 64548, length 1 01:52.9 IP our-exchange.our-domain.com.1025 > vbejin.our-domain.com.1282: Flags [.], ack 1, win 64769, length 0 01:53.0 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 49 01:53.0 IP our-storagedevice.our-domain.com.123 > our-exchange.our-domain.com.123: NTPv3, symmetric active, length 68 01:53.0 IP our-exchange.our-domain.com.21059 > our-domaincontroller.our-domain.com.53: 34757+ PTR? 9.1.168.192.in-addr.arpa. (42) 01:53.0 IP our-domaincontroller.our-domain.com.53 > our-exchange.our-domain.com.21059: 34757* 1/0/0 PTR[|domain] 01:53.0 AR P, Request who-has our-storagedevice.our-domain.com tell our-exchange.our-domain.com, length 28 01:53.0 IP our-exchange.our-domain.com.123 > our-storagedevice.our-domain.com.123: NTPv3, Server, length 68 01:53.1 AR P, Reply our-storagedevice.our-domain.com is-at 00:15:17:22:b2:44 (oui Unknown), length 92 01:53.1 IP 99-53-214-98.lightspeed.genvil.sbcglobal.net.1775 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 41 01:53.1 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58065: F

这是来自交换服务器的smtp日志的一部分:

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange -25- 220+ Postini + ESMTP + 225 + y6_29_1c0 +就绪++ CA + Business + and + Professions + Code + Section + 17538.45 +禁止+这+系统+为不请自来+电子+邮件+广告+使用+。 0 0 164 0 78 SMTP – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange – 25 EHLO – our-exchange.Northwoods.com 0 0 4 0 78 SMTP – – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1我们的交stream25 – 250 Postini +说+你好+回0 0 27 0 172 SMTP – – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange – 25 MAIL – FROM:0 0 4 0 172 SMTP – – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange – 25 – – 250 + Ok 0 0 6 0 250 SMTP – – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange – 25 RCPT – TO:0 0 4 0 250 SMTP – – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange – 25 – – 250 + Ok 0 0 6 0 782 SMTP – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange – 25 DATA – – 0 0 4 0 782 SMTP – – – – –

7/2/2010 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange – 25 – – 354 + Feed + me 0 0 11 0 860 SMTP – – – –

7/2/2010 17:36:17 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange – 25 – – 250 +谢谢0 0 10 0 1657 SMTP – – – –

7/2/2010 17:36:17 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange – 25 QUIT – – 0 0 4 0 1672 SMTP – – – – –

7/2/2010 17:36:17 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange – 25 – – 221 + catch + you + later 0 0 19 0 1735 SMTP – – – – –

7/2/2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1我们的交换网关IP 0 EHLO – #NAME? 250 0 320 27 0 SMTP – – – –

7/2/2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1我们的交换网关IP 0 MAIL – + FROM:250 0 108 95 0 SMTP – – – – –

7/2/2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1我们的交换网关IP 0 RCPT – + TO:250 0 41 38 0 SMTP – – – – –

7/2/2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1我们的交换网关IP 0 DATA – + <[email protected]> 250 0 141 22978 281 SMTP – – – –

7/2/2010 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1我们的交换网关IP 0 QUIT – p01c11m094.mxlogic.net 240 515 75 4 0 SMTP – – – – –

嗯…从哪里开始。

您的Exchange服务器不会与其他电子邮件服务器的端口25进行出站SMTP连接,而是将这些出站连接设置为端口25.这是所有TCP \ IP主机运行的方式,而不pipe所讨论的服务(大部分是对于这个论点认为这是事实)。 Exchange使用临时端口范围内的本地端口作为其输出端口,并且连接到该服务器的端口25上的另一个电子邮件服务器。当其他电子邮件服务器连接到Exchange服务器向您发送电子邮件时,其他服务器连接从其中一个临时端口到Exchange服务器上的端口25。

你为什么认为防火墙与这个问题有关? 当防火墙失败了,你没有replace防火墙吗? 在等待新防火墙时,什么保护了您的networking?

如果您的任何工作站感染了恶意软件,那么他们就有可能通过MAPI或SMTP(取决于工作站和Exchange服务器的configuration方式)通过Exchange服务器发送垃圾邮件,还是有可能通过自己的方式发送垃圾邮件。

仅仅在Exchange服务器前面安装防火墙与您的出站邮件是否被标记为垃圾邮件或者您的Exchange服务器的出站IP地址是否将被列入黑名单无关。 外部电子邮件服务器无法检测您的Exchange服务器是否在防火墙后面。 防火墙可以通过将出站SMTPstream量限制为仅来自Exchange服务器的stream量来减less被列入黑名单的可能性,Exchange服务器可能不会被用作中继。

您的第一个tcpdump会显示大概是SMTP通信会话的TCP会话信息,但是不会提供有关该SMTP会话的信息,因此在解决问题时几乎毫无价值。

你的第二个tcpdump没有显示任何我能find的SMTP连接,因此在解决你的问题时毫无价值。

所有这一切,这里有几个指针:

确保您的Exchange服务器出站问候语与您的公共MXlogging的FQDN相匹配。

确保在公用DNS中为Exchange服务器的FQDN设置PTRlogging。

确保在公共DNS中设置SPFlogging。

除Exchange服务器以外的所有内部主机,将所有出站通信限制为端口25。

这些都不能保证让你摆脱黑名单,但在这方面他们是有帮助的。

最后,请在Exchange服务器上启用SMTP日志logging,以便您拥有所有入站和出站SMTP会话的日志logging。 这在排除SMTP问题方面是非常有用的。

在这里并不是很多,但是CBL只会列出你,因为你的基础设施已经被垃圾邮件发件人使用。 这可能意味着你正在发送垃圾邮件,但这也可能意味着你有一个开放的代理(HTTP,Socks或其他),或者你可能有一个容易受到攻击的HTML表单。 CBL应该为你列出的原因提供一些想法。

如果您的机器发送垃圾邮件,那么您的防火墙应该有一个默认的拒绝全部策略,密切监视允许和拒绝的stream量,并且只有在您确定没有任何事情正试图在这些机器上发送时才打开端口。 你还应该看看你在外部打开了哪些端口,以确保没有人使用任何forms的代理,你应该确保你所托pipe的任何网站都是安全的。

你已经提到你在所有机器上运行McAffee。 病毒定义是否保持最新? 如果您对特定机器的performance不佳,您可能需要运行另一个供应商的防病毒软件,以确定McAffee是否漏掉了任何东西。

你可能也想确保你不是一个开放的SMTP中继,尽pipe这通常不足以让你用CBL上市。

这花了几天,但我们相信我们终于解决了这个问题。 事实certificate,当我们的防火墙被更换时,新的configuration会在我们的networking之外发送报告,然后返回,而不是在内部。 如果防火墙中的电子邮件中继是使用FQDN设置的,但实际上它被看作是127.0.0.1的通用IP,然后被拾取为可能的垃圾邮件,则这不会成为问题。 所以,几天的问题解决是由于每晚的午夜时分只有一个错误configuration的电子邮件发出。