Exchange Server: спам

Попросили посмотреть сервер — непонятным образом шел спам.
Первая мысль была в том что неправильно настроены соединители получения и отправки, но оказалось что все в порядке.
однако обнаружилось, что действительно через соеденитель получения со стороны интернета через нас делают рассылки.
Выключили соеденитель получения — спам перестал идти.
Включили — спам опять идет.


Немного подумав решили включить антиспам — агент на сервере и заблокировать IP спамера.

Добавили IP спамера в черный список …. и спам продолжает идти. Общее впечатление — что включен у нас опенрелэй, но по факту опенрелэя нет. Блокируем на фаерволе IP — спам прекращается на время, потом опять начинает идти но с другого адреса.

«Наверное неправильный антиспам фильтр у microsoft» — подумали мы и поставили ORF.

Сразу в логах обнаружилось интересное:

Version: 4.4 REGISTERED
Log Mode: Verbose
Server: ADC.mydomen.local
Source: MSEXCHANGE
Time: 29.05.2012 19:46:41
Class: Whitelist
Severity: Information
Actions: (not available)
Filtering Point: On Arrival
HELO/EHLO Domain: (not available)
Related IP Address: 197.255.175.253
Message ID: (not available)
Email Subject: INDEPENDENT EXPRESS DELIVERY PAYMENT ARRANGEMENT.
Sender: info@delivery.com
Recipient(s):
 * ephraimsbrat@yahoo.com
 * ephron1@att.net
 * ephwin@aol.com
 * epi.salazar@seshorizon.com
 * epi@rockoi.com
 * epiaxor@aim.com
 * epibate@web.de
 * epic@gvtc.com
 * epic_dynamite@yahoo.com
 * epic_music@hotmail.com
 * epiceneexperience@yahoo.com
 * epicentre@tbc.dk
 * epictitanium@hotmail.com.if
 * epicuresc@hotmail.com
 * epidemiadeathmetal@gmail.com
 * epidemic_decay@yahoo.com
 * epierce212@yahoo.com
 * epifox@yahoo.co.uk
 * epileptichero@hotmail.com
 * epillado1@hotmail.com
 * epillipsias@hotmail.com
 * epilogueproduction@hotmail.com
 * epiman1@aol.com
 * epimntl@mail.mediaone.net
 * epinnell@pbmgraphics.com
 * epinto3@cox.net
 * epinto3@home.com
 * epiphani@powertrip.net
 * epiphany_ministries@yahoo.com
 * episbootgirl@web.de
 * episode13@insomniaproductions.org
 * episode888@web.de
 * episteels@yahoo.com
 * episthetruth@gmail.com
 * epixmiami@yahoo.com
 * epizarro@sandiego.gov
 * epj@nmss.com
 * epk1halau@bellatlantic.net
 * epl@georgetowntx.org
 * epl@michianatoday.com
 * epl@sover.net
 * epl@wcc.net
 * eplaas@gmail.com
 * eploya612@yahoo.com
 * epm0131@mail.ecu.edu
 * epm22@bluewin.ch
 * epmaraia@earthlink.net
 * epmd@erix.ericsson.se
 * epmd60@hotmail.com
 * epmissmarple@aol.com
Message:
Authenticated session, type: organization.

Обратите внимание на эту строку:

Authenticated session, type: organization.

Ситуация очень похожа на эту: http://www.msexchange.ru/forum/read.php?FID=7&TID=4114

Немного подумав заходим на соеденитель получения и убираем галочку

… и спам перестает идти ))))

Что было?

было все очень просто: утек пароль доменной учетной записи. Так как опенрэлэй закрыт, то отправить письма через наш сервер можно было только авторизовавшись на SMTP сервере. При наличии логин/пароля отправить почту не составляет никаких проблем. что спамеры и делали.

PS:

Я так как посмотреть кто авторизовался на SMTP коннекторе?

Включить ведение журнала, коннектора

после зайти на

C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive

Ищем среди всех строк эти:

8CF0BC626049D00,5,192.168.77.2:25,197.242.101.57:53700,>,250-SIZE 10485760,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,6,192.168.77.2:25,197.242.101.57:53700,>,250-PIPELINING,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,7,192.168.77.2:25,197.242.101.57:53700,>,250-DSN,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,8,192.168.77.2:25,197.242.101.57:53700,>,250-ENHANCEDSTATUSCODES,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,9,192.168.77.2:25,197.242.101.57:53700,>,250-STARTTLS,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,10,192.168.77.2:25,197.242.101.57:53700,>,250-AUTH NTLM LOGIN,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,11,192.168.77.2:25,197.242.101.57:53700,>,250-8BITMIME,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,12,192.168.77.2:25,197.242.101.57:53700,>,250-BINARYMIME,
2012-05-29T16:05:52.678Z,ADC\mail.myfirm.com,08CF0BC626049D00,13,192.168.77.2:25,197.242.101.57:53700,>,250 CHUNKING,
2012-05-29T16:05:52.682Z,ADC\mail.myfirm.com,08CF0BC626049CFE,14,192.168.77.2:25,197.242.101.57:53702,<,AUTH LOGIN,
2012-05-29T16:05:52.682Z,ADC\mail.myfirm.com,08CF0BC626049CFE,15,192.168.77.2:25,197.242.101.57:53702,>,334 <authentication response>,
2012-05-29T16:05:52.818Z,ADC\mail.myfirm.com,08CF0BC626049CF2,16,192.168.77.2:25,197.242.101.57:53695,>,334 <authentication response>,
2012-05-29T16:05:52.819Z,ADC\mail.myfirm.com,08CF0BC626049CF3,16,192.168.77.2:25,197.242.101.57:53692,>,334 <authentication response>,
2012-05-29T16:05:53.173Z,ADC\mail.myfirm.com,08CF0BC626049CF0,17,192.168.77.2:25,197.242.101.57:53690,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow SMTPAcceptXShadow,Set Session Permissions
2012-05-29T16:05:53.178Z,ADC\mail.myfirm.com,08CF0BC626049CF0,18,192.168.77.2:25,197.242.101.57:53690,*,MYDOMAIN\Administrator,authenticated
2012-05-29T16:05:53.178Z,ADC\mail.myfirm.com,08CF0BC626049CF0,19,192.168.77.2:25,197.242.101.57:53690,>,235 2.7.0 Authentication successful,
2012-05-29T16:05:53.182Z,ADC\mail.myfirm.com,08CF0BC626049CF1,17,192.168.77.2:25,197.242.101.57:53691,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow SMTPAcceptXShadow,Set Session Permissions
2012-05-29T16:05:53.185Z,ADC\mail.myfirm.com,08CF0BC626049CF1,18,192.168.77.2:25,197.242.101.57:53691,*,MYDOMAIN\Administrator,authenticated
2012-05-29T16:05:53.185Z,ADC\mail.myfirm.com,08CF0BC626049CF1,19,192.168.77.2:25,197.242.101.57:53691,>,235 2.7.0 Authentication successful,
2012-05-29T16:05:54.224Z,ADC\mail.myfirm.com,08CF0BC626049CF8,16,192.168.77.2:25,197.242.101.57:53699,>,334 <authentication response>,
2012-05-29T16:05:54.248Z,ADC\mail.myfirm.com,08CF0BC626049CFF,14,192.168.77.2:25,197.242.101.57:53703,<,AUTH LOGIN,

Среди кучи непонятных букв мы наталкивеемся на одну инересную вешь:

Обратите внимание на:

MYDOMAIN\Administrator,authenticated
2.7.0 Authentication successful,

именно на это обращаем внимание !!!

Это значит только одно: доменная учетная запись Administrator как раз и была скомпрометирована, и от ее имени велась рассылка.

Жесть конечно, но так тоже бывает.

Удачи!

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *