web-dev-qa-db-ja.com

Exchange Server2010リレースパム

最近、ExchangeサーバーからAOLスパムフィードバックレポートを受信し始めました。調査したところ、何百ものスパムメッセージがExchangeサーバーを介して中継されていることがわかりました。理由がわからないのですが。

追跡ログには、ワシントンDCへの逆引き参照を行うIPから発信された各スパムメッセージの受信および送信SMTPイベントが表示されます。

彼らは隔夜の午前2時から午前4時の間に私たちのサーバーにぶつかっているようです。毎晩異なるドメインをヒットします。

スパムは、ロシアのサイトから取得した画像です。送信者と受信者のアドレスは同じであるため、ユーザーはだまされてそれを開きます。

受信コネクタと送信コネクタの構成、およびすべての継ぎ目が正しく構成されていることを確認しました。 MXtoolsからオープンリレーチェックを実行し、合格しました。 SMTPツールを使用してメッセージを中継しようとしましたが、認証しない限りできませんでした。認証されたユーザーとして、私は外部アドレスから外部アドレスにメッセージを中継することができました。

これは、スパマーが認証されたユーザーのSMTPセッションを介して接続していると私に信じさせます。ただし、Exchangeログを調べて、認証されたユーザーを確認する方法や、Exchangeを介してメッセージを中継する方法さえまったくわかりません。

誰かがこれに光を当てることができますか?

2
Benjamin

2つまたは3つの受信コネクタが必要です。認証オプションがチェックされておらず、ポート25で動作し、受信メールを受信するために外部IPアドレスにバインドされている必要があります。 2つ目は、ポート25または587、あるいはその両方で内部専用IPアドレスにバインドする必要があります。認証が必要であり、スキャナーや監視ソフトウェアなどの内部デバイスやサービスで使用するために、ホワイトリストに登録された内部IPまたはIP範囲に制限されます。 3つ目はオプションで、ポート587で実行され、認証とTLSが必要であり、境界外の従業員が使用するために外部IPにバインドされます。

現在、最初の受信コネクタは匿名接続のみを許可するため、自動的にリレーを禁止します。これにより、特に前述の3番目のコネクタを有効にしない場合に問題が解決します。

2
longneck