我们是合法的公司。 过去我们遇到过一些问题,比如病毒攻击/垃圾邮件僵尸程序将我们的电子邮件服务器列入黑名单。
在最近的攻击之后,我的任务就是提出一个解决scheme,让我们在确定被拦截的情况下切换到干净的服务器和IP
这里是我的上司期望这个工作的方式…(我觉得电子邮件的设置和黑名单监控的方式,这可能不工作,因为他们期望….虽然黑名单function的IP,而不是域名.. ..)
确定哪台计算机或交换服务器受到感染。 移动到清洁交换服务器或从networking中删除受感染的计算机将公司切换到function和无病毒交换服务器。 (辅助服务器正在等待)将交换服务器切换到辅助IP地址以避免列入黑名单。
这里的想法是转移到一个干净的无病毒服务器和一个畅通的IP。
问题:
这可能吗?
我们会再被封锁吗? (让我们假设我们不发送辅助服务器和IP上的垃圾邮件)
我怎样才能将用户从一个交换转移到另一个交换。 移动邮箱需要很长的时间。 两台交换服务器在现场(物理上彼此相邻)
电子邮件声誉的重视程度如此重要。 预计从辅助IP发送的电子邮件到达用户收件箱是否合理?
他们预计这会花费30分钟时间,从受阻IP的(最坏情况)受感染的交换服务器切换到干净的IP交换服务器。
Server 2003 R2 Exchange 2003 SP2 Active Directory
援助/build议/或select都是赞赏! 谢谢大家,Campo
编辑:每台机器都有AVG
Exchange Server不是开放中继,需要身份validation
我已经完成了每一步,并采取了一切预防措施,但仍然受到感染。
编辑:再次封锁
新的病毒名称(GRUM)
这不在我们的交换服务器上。 没办法,扫描了很多东西。 自己通过registry。 没有! 扫描所有其他服务器没有扫描的用户计算机什么都没有WTF?
奇怪的事情是电子邮件仍然通过,但我们在CBL ….
将SMTP移到非标准端口。 显式阻止防火墙上的端口25。 除去我们。
更新:
我添加了额外的IP地址。 现在如何将一个IP上的用户连接到另一个IP上的服务器? 我只有Exchange服务器有两个IP(每个内部networking一个)还是有更多的呢?
更新2
这是@Madboys在他的回答下的回复:
我还没有做到。 这里是设置。 我们现在有5个IP。 我现在用2。 1为办公室networking。 1交换。 我们的调制解调器包含两个IP发送到机器背面的一个端口。 该LAN电缆进入一个交换机,然后分裂成2.每个进入我们的调制解调器(双万RV042)我分配交换到一个子网。 networking到其他。 请确认这个计划。 理想情况下,PIX或类似的FW设备将是最好的。 但是再次花费0美元。 问题是一个子网上的用户如何与其他用户通话? 我应该设置不同吗? 完全独立的networking?
更新3
****好的,我能够做到这一点。 调制解调器切换,然后我有3根电缆走出开关。 1转到WRT54G进行无线连接,并在自己的networking上将外部顾问分开(他们没有理由在我们的networking上)。 另外两根电缆连接到支持双WAN的RV042。 我build立了第二个子网。 现在如何在自己的子网上隔离每个广域网? 我相信在这个设备上的广域网的重点是通过利用单独的ISP维持时间….请协助。 我们就这样CLOSE please please advice另外:除了交换服务器之外,我没有在PORT 25上看到任何出站连接。 所以这很好。 而从交易所来看,港口25的交通量是正常的,反映了我们的数量。
更新4
我已经重新开放了WRT和其他解决scheme。 我来到了PF Sense看起来很完美! 思考? 我有一个老P4我可以使用。 然后只需要几个兼容的网卡:)。
解决:
修改networking布局。
RV042支持1:1 Nat
使用WRT54G的1:1 Nat的隔离Wifi
在Exchange服务器上使用2个nics
1:1 IP映射到smtp和OWA等其他networkingstream量。
感谢所有人对这个问题的帮助和帮助。
我拥有Exchange 2003服务器,只被列入黑名单一次。 你一定是做错了,才会被列入黑名单。 我已经通过下面的方法修复了它:
这3条规则应该清楚地说明,让你在没有垃圾邮件的情况下运行。 你甚至可以通过并取消你已经列入黑名单的IP。 MxToolBox将帮助你很多。
只是补充,也许你应该得到一些帮助。 聘请顾问什么的。 如果你想得到一些帮助,我可以帮忙。
回答您的一些问题:
所以我给你的build议是清理你的环境(你可以检查你是否仍然发送垃圾邮件,因为他们通常会让你检查从你的IP收到的最后一个垃圾邮件 – 用作你调查的一部分),块25端口,把交换机放在不同的IP上,然后把其他服务器,用户和每天检查,如果你做得很好。 如果垃圾邮件发送开始,您甚至可以自己设置监视MXToolBox以向您发送电子邮件。
保护你的Exchange服务器会更好,然后试图找出如何迁移交换。
在交换服务器上安装一些防病毒软件。 保护你的前端服务器(那些有SMTP运行的服务器和互联网上的电脑发送电子邮件的服务器),以便人们不能通过服务器从networking外部发送电子邮件。 在所有服务器和工作站上安装一些防病毒软件。
一旦完成了这一切,你应该从垃圾邮件发送者通过你的服务器发送电子邮件,你应该不会被列入黑名单。
我想你把太多的鸡蛋放在错误的篮子里了。 首先是:保护您的networking!
在您的网关上进行某种病毒扫描。 在同一地点的IPS也是一个好主意。
把好的杀毒软件放在你所有的电脑上。 我知道我们讨厌它(我也讨厌它),但这是一个必要的罪恶。 任何经过你的第一道防线的东西都会被AV所吸引。
阻止从Exchange服务器以外的每台计算机到端口25的出站连接。 为什么ISP经常这样做是有原因的。 这是因为它阻止垃圾邮件僵尸死亡。 如果无法在端口25上连接,则无法执行任何操作。
研究出站电子邮件服务。 我是Postini的用户。 对于价格,这是非常值得的。 还有其他的。 我认为趋势科技,AppRiver和Exchange Defender都可以做到这一点…可能还有更多…
至于你的解决scheme,肯定也许。 大多数阻塞列表将阻止单个IP地址。 所以如果被阻止,你可以切换到另一个。 不过,我认为有比这更明智的阻断列表。 我确定有人在阻止IP地址。 所以我不会依赖这个作为一个真正的解决scheme。
就移动人员而言,您始终可以通过另一个Exchange服务器路由电子邮件,而无需移动邮箱。 没有什么可说的,只是因为用户的邮箱在一台服务器上,他们的所有邮件都必须从同一台服务器上传到互联网……只需在Exchange中设置它们就可以通过一台干净的服务器。
要添加到上面的@mrdenny,还要禁止工作站在公司networking之外发送电子邮件。 工作站只能通过交换服务器发送电子邮件,该服务器将电子邮件发送给收件人。 在交换服务器上停止匿名中继,只允许安全连接并closures端口25.如果可以,为您的域创buildSPFlogging( http://www.openspf.org/ )。 在您的工作站和交换服务器上安装防病毒软件也不言而喻。
是的,你可以移动到不同的IP和服务器。 但是,除非你追踪这个来源,并且防止它在将来发生,否则几乎肯定会再次发生(再次:-)。 这些垃圾邮件战斗机并不是无能为力的,希望在实施一个更大的区块之前,它只能工作一会儿,并开始联系上游的ISP。
所以,你可以做到这一点,但这不应该是你列入黑名单的主要回应。
这是可能的吗?
是。
我们会再被封锁吗? (让我们假设我们不发送辅助服务器和IP上的垃圾邮件)
Likeky你的整个networking和分配给你的所有networking将一次被封锁。
我怎样才能把用户从一个交换所转移到另一个交换所。 移动邮箱需要很长的时间。 两台交换服务器在现场(物理上彼此相邻)
基本上2007+允许你有一个服务器不同的angular色。 只需在您的前端服务器上没有邮箱,纯粹用于电子邮件交换。 但是,随着2010年和不愚蠢的configuration,你永远不会有这个问题。
4,电子邮件的声誉如此重要。 预计从辅助IP发送的电子邮件到达用户收件箱是否合理?
是。
这就是说,我从来没有任何服务器在15年的垃圾邮件问题。 所以,你的问题不是电脑,你的问题是一个pipe理员不能像专门的SMTP发件人那样简单。