約40台のコンピューターからなる小規模なネットワークの管理を支援しています。 Exchange 2003メールサーバーを実行しています。
スパムボットに感染しているマシンを見つけるための最良の方法は何ですか?各コンピュータにウイルス対策プログラムとマルウェア対策プログラムをインストールしてみました。コンピューターをスキャンした後、悪意のあるプログラムが多く含まれているコンピューターを見つけ、問題が解決したと思いました。ただし、ドメインはDNSブラックリストによってブロックされ続けており、クライアントが電子メールを受信するためには、ドメインを毎日削除する必要があります。
注:私たちは、ディレクトリハーベストとバックスキャターの戦術に襲われています。
編集:私たちの電子メールサーバーは、DNSサーバーを兼ねています。これにより、スパム攻撃の脆弱性が開かれる可能性はありますか?
まず、スパムを阻止する必要があります。
a-ファイアウォールをnotに設定して、電子メールサーバーからの送信以外の送信SMTP/POPを許可します。
b-メールサーバーをnotに設定して、送信リレーを許可します。
次に、問題のあるマシンを見つける必要があります。
1-ファイアウォールのログを調べて、実際に送信メールを送信しようとしてブロックされているマシンを確認します。これらのマシンは感染しています。
2-各マシンに最新のA/Vがあることを確認し、各マシンで完全なスキャンを実行します。
3-各マシンにWindowsファイアウォールを実装することができます。
4-それでも見つからない場合は、スニファを使用する必要があります。
注:同じサーバー上のDNSと電子メールが問題になるとは思いません。
問題は、ExchangeサーバーがRELAYを許可していることである可能性があります。設定がオフになっていることを確認するか、そのサーバーを経由してリレーできるIPのみを設定してください。ネットワーク設計では、Exchange Serverがポート25経由でネットワークからトラフィックを送信することのみを許可する必要があります。
ほとんどのスパムボットはポート25を使用します。このように設定すると、他のマシンがポート25経由で送信しようとすると、ファイアウォールログに表示されます。
幸運を!
ファイアウォールがある場合、簡単な解決策は、Exchangeサーバーを除くすべての送信ポート25トラフィックをブロックすることです。個々のマシンがスパムを送信しようとしている可能性があります。ブロックを設定したら、ファイアウォールログをチェックして、どのIPが試行して失敗しているかを確認し、ポート25をアウトバウンドにヒットさせます。
データはどこに保存されていますか?ハードウェアはほとんど同じですか?それらの多くのイメージを再作成するのが最も簡単かもしれません。
ネットワーク上のトラフィックを監視するShowtrafというプログラムを以前に使用しました。以前にも同様の問題があり、ポート25で膨大な量のデータを送信しているIPを示していました。
ここで利用可能- http://demosten.com/showtraf/