web-dev-qa-db-ja.com

Exchangeサーバーを介してフィッシングメールを送信するウイルス

Exchangeサーバーを介してフィッシングメールを送信しているウイルスがネットワークのどこかにあるようです。メッセージ追跡でメッセージを確認でき、NDRのSMTPエラーが多数表示され、外部サーバーからの接続が拒否されましたが、SMTP認証が表示されず、MAXにログインしています。感染したPCのIPまたはホスト名を見つけるにはどうすればよいですか?それとも、ウイルス以外の説明はありますか?

サーバーでのアンチウイルススキャンはクリーンです。サーバーはオープンリレーではありません。

ありがとう

2
therulebookman

あなたは逆NDRスパム攻撃の犠牲者になる可能性があります。一部の人からは後方散乱と呼ばれています。この記事を確認してください。 SBS 2003について説明していますが、Exchangeにも同じ問題があります。この攻撃は現在、より一般的なようです。

これも見てください。おそらくより多くの情報。最近、Ex2003ボックスでこの正確な動作を確認しました。 NDRスパム

MS KB記事

1
Dave M

メールサーバーを除くすべてのホストへの送信SMTPパケットをドロップするようにファイアウォールに指示します。これにより、感染している可能性のあるワークステーションからの直接SMTPスパムを防ぐことができます。

メールサーバーはオープンリレーではないとおっしゃっていますが、LANからのリレーを許可していますか?多くの人がMFPやスキャナーなどをセットアップするときにこれを行います。別のワークステーションに飛び乗って、次のことを行うことでテストできます。

telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: [email protected]
rcpt to: [email protected]

戻ってきたら250 OK、リレーを許可しているので、ボットはメールサーバーからメールを簡単にリレーできます。

スパムを送信しているワークステーションを見つけるには、ラップトップを入手して、WireSharkをインストールします。ラップトップをハブに置き(ハブであることを確認してください)、ファイアウォールのLANインターフェイスをハブポート#2に接続してから、別のケーブルをハブポート#3からLANインターフェイスに接続します。

次のような表示フィルターを使用して、キャプチャを照らします。

tcp.port eq 25 && src.ip != <your.mail.server.ip>

2
gravyface

これらのフィッシングメールのメールヘッダーを表示できますか?探す Received: from行。そのメッセージがどのコンピュータから送信されているかがわかります。

->> Received: from infected.computer ([192.168.1.X]) <<---
        by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
0
solefald

これですぐにどこにも行けない場合は、SMTPのものだけをキャプチャするために適切なフィルタを使用してwiresharkを実行する価値があるかもしれません。そうすれば、ヘッダーが偽造されている場合でも、どのシステムが関係しているかを確実に確認できます。

0
John Gardeniers

受信者フィルタリングがオンまたはオフになっているかどうかを確認します。オフになっていて、ExchangeがNDRを送信するように構成されている場合、サーバーは存在しないユーザーに送信されたメールを受け入れる可能性があり、キューがNDRでいっぱいになります。

受信者フィルタリングをオンにすると、これが防止される可能性があります。既存でないユーザーに送信されたメールは、Exchangeによって受け入れられません。

0
mat0ng