服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Exchange 2007 – 从MY域发送垃圾邮件,但无效的随机用户
Intereting Posts
pam_ecryptfs:获取密码错误(ProFTPD) 磁盘(EXT4)突然空了,没有任何迹象,为什么 在Amazon Web Services上,SQL Server Standard和SQL Server Web有什么区别? Nginxredirect:文件夹到外部域 如何确定Server 2008上运行的Microsoft FTP服务的版本? 请问这个redirect工作在httpd.conf中 有没有办法使用像RewriteRule … 的外部URL? 达到我的虚拟机上的最大分区 对使用整个驱动器encryptionencryption的驱动器进行碎片整理 无法在设置Bacula时通过端口9102远程login到Windows 7客户端 PhpMyAdmin – 连接重置错误 什么可能导致SVCHost泄漏处理? 外包可启动的XP光盘创build? 在linux下快速备份脚本 在Linux上进行SVN备份

Exchange 2007 – 从MY域发送垃圾邮件,但无效的随机用户

我正在运行Server 2003. Exchange 2007。

系统上有东西发出大量的垃圾邮件,现在大部分都被外界阻挡了。 (我们可以收到,但不能发送,因为我们在垃圾邮件列表上。)

这是一个我没有经验的服务器,没有维护logging或任何人要求帮助。 我要瞎了

在详细讨论之前,这里的绝对关键是:

  • Exchange使用我们的域名发送垃圾邮件,但随机生成用户名。

据我所知,垃圾邮件的可能载体是:

  • 服务器本身带有病毒。

  • 受感染的networking计算机。

  • 外部计算机滥用NDR(反向散射)或开放中继。

服务器问题:

  • 那里有一个可怕的密码政策。 我不会说这是什么,但几乎所有的帐户使用可以想象的最糟糕的密码之一,其他人使用一个很好的密码,但很多共享它。

  • 有一个由反恶意软件字节检测到的Zero Access rootkit。 之后我也运行了TDSSkiller,并且再也没有检测到任何事件。 但是,它可能还在备用文件stream中。 但这是一个单独的问题。

  • 许多Windows更新/安全更新无法安装。

  • 它运行RRAS,在路由器的DMZ上没有防火墙。 我不能启用它,直到我得到一个应该运行的服务列表。

垃圾邮件问题:

  • 交易所正在抛出反向散射/ NDR垃圾邮件,我用一些运输规则解决了这个问题。 我有“如果电子邮件是从外面和外面,静静地放弃它”。 以及“如果电子邮件是TO以外,主题包含”无法递送:“,则默默放下。

  • 我试着按照各种指南“禁用开放中继”,但其中许多人说,要删除所有连接器上的NT AUTHORITY \ Anonymous帐户的“accept-all-recipients”权限。 但是,这会导致所有传入邮件失败。 这是正常的吗? 这似乎应该只禁用通配符/随机生成的用户名。

  • 一个特定的用户被泄密并发送垃圾邮件。 我禁用了他的邮箱。 那些不再出现。 (我们称他为[email protected]

  • 剩下的就是在Active Directory上不存在的大量随机用户。 ([email protected][email protected][email protected] …数百分钟)

  • 我已经打开networkinglogin日志logging。 ([email protected]是垃圾邮件进入和失败。有一些其他用户试图login,但不明显,如果他们被入侵或只是正常的活动。)

所以我需要做的是:

  • 了解:确保您不是开放中继,同时允许接收邮件的正确方法是什么?

  • 了解我是否可以限制仅从有效的AD用户地址发送电子邮件(和/或针对我们运行的其他定制服务/程序的硬编码电子邮件)。

  • 更进一步,只限制从您的AD名称发送电子邮件(也就是说,[email protected]不能从[email protected]发送)。

  • 了解如何跟踪Exchange如何发送这些电子邮件。 有没有方法可以追踪谁在发送?

例如,在消息队列(其中有约180,000条消息由于其他人垃圾邮件阻塞我们只有两天的保存电子邮件)显示此电子邮件:

身份:myservername \ 368722 \ 5834167

主题:当前未结头寸

Internet消息ID:<0CDA6CACCF886A682B2C6E3DDAB080C1 @ xizyrafo>

来自地址:[email protected]

状态:就绪

大小(KB):2

消息源名称:SMTP:客户端SERVERNAME

来源IP:204.248.123.228

SCL:0

收到的date:2016年1月23日下午2点57分20秒

到期时间:1/25/2016 2:57:20 PM

最后的错误:

队列ID:servername \ 368722

收件人:[email protected]

有没有一种方法可以使用这些信息来追踪来自谁的信息?

我试图弄清楚什么是源IP意味着什么(无论是发送到IP还是请求发送者的IP),但是我没有看到实际解释它。

不要浪费你的时间来寻找来源。 这将是另一个受害者。 垃圾邮件发送者将有一个他们正在使用的受感染机器的networking。 你应该做的第一件事就是应用一个密码策略并强制每个人改变他们的密码。 请确保您也更改了pipe理员密码,因为这是最受滥用的帐户。

接下来,在接收连接器上,确保未启用外部保护。 如果是这样,那就让你成为一个开放的中继。 NDR垃圾邮件可以通过安装反垃圾邮件filter,然后启用收件人过滤来处理。

进行任何上述更改后,重新启动MS Exchange传输并运行IISRESET。

我会做一些telnettesting,以确认机器是否仍然是一个开放的继电器。

然而,你需要做的下一件事是build立一个替代机器。 这台机器已经被盗用,甚至用你发现的工具也不可信。 build立一台新机器,使用Exchange 2007 SP3媒体安装并修补它。 你不能在机器上安装更新的事实表明它是相当破碎的。 将内容移出旧机器,然后删除Exchange并擦除。 如果您没有备用机器,请使用高功率工作站作为固定机器,以便重build原件。

一旦垃圾邮件不再被发现,很多黑名单将会把你从名单中删除。 作为临时措施,您可以通过您的ISP SMTP服务器作为智能主机发送。 在开始使用之前,您需要清理服务器,否则您的ISP可能会将您的服务拒之门外。