我帮助pipe理一个大约40台电脑的小型networking。 我们正在运行Exchange 2003邮件服务器。
什么是最好的方式来find哪台机器被spambot感染? 我已经尝试在每台计算机上安装防病毒和反恶意软件程序。 扫描完电脑后,我发现有几个有很多恶意程序,并认为我们的问题已经解决了。 但是,我们的域名不断被DNS黑名单阻止,我必须每天将其删除,以便我们的客户收到我们的电子邮件。
注意:我们受到目录收集和反向散射策略的攻击。
编辑:我们的电子邮件服务器兼作DNS服务器。 这可能会打开垃圾邮件攻击的漏洞吗?
首先,你需要停止垃圾邮件。
a-将防火墙设置为不允许从电子邮件服务器除外的出站SMTP / POP。
b-将您的邮件服务器设置为不允许出站中继。
然后,你需要find有问题的机器。
1-查看防火墙日志,看看哪台机器实际上正试图做出站邮件并被阻止。 那些机器被感染了。
2-确保每台机器都有当前的A / V,并在每台机器上进行彻底的扫描。
3-您可能需要在每台计算机上实施Windows防火墙。
4-如果仍然没有find,你将需要使用嗅探器。
注意:我不认为在同一台服务器上的DNS和电子邮件是一个问题。
问题可能是您的交换服务器允许RELAY。 确保closures设置或仅设置允许通过该服务器中继的IP。 您的networkingdevise应该只允许交换服务器通过端口25将stream量发送出您的networking。
大多数垃圾邮件程序使用端口25.一旦你有这样的设置,那么如果任何其他机器尝试通过端口25发送它将显示在防火墙日志。
祝你好运!
如果您有防火墙,一个简单的解决scheme是阻止除Exchange服务器之外的所有出站端口25通信。 个别机器可能试图自行发送垃圾邮件。 一旦你把这个模块放在适当的位置,检查防火墙日志,看看哪个IP正在尝试,并失败,打出端口25出站。
你的数据存储在哪里? 硬件大部分是一样的吗? 重新塑造它们可能是最容易的。
我之前使用过一个名为Showtraf的程序来监视networking上的stream量。 我们之前也有类似的问题,它显示了端口25发送了大量数据的IP。