Exchange Server: спам

Попросили посмотреть сервер – непонятным образом шел спам.
Первая мысль была в том что неправильно настроены соединители получения и отправки, но оказалось что все в порядке.
однако обнаружилось, что действительно через соеденитель получения со стороны интернета через нас делают рассылки.
Выключили соеденитель получения – спам перестал идти.
Включили – спам опять идет.


Немного подумав решили включить антиспам – агент на сервере и заблокировать IP спамера.

Добавили IP спамера в черный список …. и спам продолжает идти. Общее впечатление – что включен у нас опенрелэй, но по факту опенрелэя нет. Блокируем на фаерволе IP – спам прекращается на время, потом опять начинает идти но с другого адреса.

“Наверное неправильный антиспам фильтр у microsoft” – подумали мы и поставили ORF.

Сразу в логах обнаружилось интересное:

Обратите внимание на эту строку:

Ситуация очень похожа на эту: http://www.msexchange.ru/forum/read.php?FID=7&TID=4114

Немного подумав заходим на соеденитель получения и убираем галочку

… и спам перестает идти ))))

Что было?

было все очень просто: утек пароль доменной учетной записи. Так как опенрэлэй закрыт, то отправить письма через наш сервер можно было только авторизовавшись на SMTP сервере. При наличии логин/пароля отправить почту не составляет никаких проблем. что спамеры и делали.

PS:

Я так как посмотреть кто авторизовался на SMTP коннекторе?

Включить ведение журнала, коннектора

после зайти на

Ищем среди всех строк эти:

Среди кучи непонятных букв мы наталкивеемся на одну инересную вешь:

Обратите внимание на:

именно на это обращаем внимание !!!

Это значит только одно: доменная учетная запись Administrator как раз и была скомпрометирована, и от ее имени велась рассылка.

Жесть конечно, но так тоже бывает.

Удачи!

 

Comments are closed.