看来我的networking上有一个病毒正在通过我的交换服务器发送networking钓鱼邮件。 我可以在消息跟踪中看到消息,并且发现NDR的很多SMTP错误,并拒绝了来自外部服务器的连接,但是我没有看到任何SMTP身份validation,并且已经logging到MAX。 如何find感染PC的IP或主机名? 还是有其他解释比病毒?
服务器上的防病毒扫描是干净的。 服务器不是一个开放的中继。
谢谢
您可能是反向NDR垃圾邮件攻击的受害者。 由一些被称为Backscatter ..检查这篇文章。 它谈到了SBS 2003,但Exchange有同样的问题。 这种攻击现在看起来比较普遍。
看看这个。 也许更多的信息。 我们最近在我们的Ex 2003盒子里看到了这个确切的行为。 NDR垃圾邮件
MS KB文章
告诉防火墙将任何传出的SMTP数据包丢弃到除邮件服务器以外的所有主机上。 这将防止任何可能受感染的工作站的任何直接的SMTP垃圾邮件。
你说你的邮件服务器不是一个开放的中继,但你允许来自局域网的中继? 在设置MFP,扫描仪等时,许多人都是这样做的。您可以在另一个工作站上进行testing,并执行以下操作:
telnet <your.mail.server.ip> 25 helo <mail.yourdomain.tld> mail from: [email protected] rcpt to: [email protected] 如果返回250 OK ,则允许中继,并且bot可以轻松地将邮件从邮件服务器中转出。
要find发送垃圾邮件的工作站,请抓住一台笔记本电脑,安装WireShark。 将笔记本电脑放在集线器上(确保它是集线器),然后将防火墙上的LAN接口插入集线器端口#2,然后将另一根电缆从集线器端口#3插入LAN接口。
点亮捕捉,使用如下显示filter:
tcp.port eq 25 && src.ip != <your.mail.server.ip>
你能查看这些钓鱼电子邮件的邮件标题吗? 查找Received: from行。 它会告诉你哪个电脑来自哪个消息。
->> Received: from infected.computer ([192.168.1.X]) <<--- by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
如果你很快就得不到这个东西,那么使用合适的filter就可以运行wireshark来捕获SMTP的东西。 这样,你一定会看到涉及哪个系统,即使头是伪造的。
检查收件人筛选是打开还是closures。 如果它被closures,并且Exchange被configuration为发送NDR,则服务器可能会接受发送给非现有用户的邮件,导致队列填满NDR。
打开收件人筛选最有可能防止这种情况。 发送给非现有用户的邮件根本不会被Exchange接受。