Exchangeサーバーを介してフィッシングメールを送信しているウイルスがネットワークのどこかにあるようです。メッセージ追跡でメッセージを確認でき、NDRのSMTPエラーが多数表示され、外部サーバーからの接続が拒否されましたが、SMTP認証が表示されず、MAXにログインしています。感染したPCのIPまたはホスト名を見つけるにはどうすればよいですか?それとも、ウイルス以外の説明はありますか?
サーバーでのアンチウイルススキャンはクリーンです。サーバーはオープンリレーではありません。
ありがとう
メールサーバーを除くすべてのホストへの送信SMTPパケットをドロップするようにファイアウォールに指示します。これにより、感染している可能性のあるワークステーションからの直接SMTPスパムを防ぐことができます。
メールサーバーはオープンリレーではないとおっしゃっていますが、LANからのリレーを許可していますか?多くの人がMFPやスキャナーなどをセットアップするときにこれを行います。別のワークステーションに飛び乗って、次のことを行うことでテストできます。
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: [email protected]
rcpt to: [email protected]
戻ってきたら250 OK
、リレーを許可しているので、ボットはメールサーバーからメールを簡単にリレーできます。
スパムを送信しているワークステーションを見つけるには、ラップトップを入手して、WireSharkをインストールします。ラップトップをハブに置き(ハブであることを確認してください)、ファイアウォールのLANインターフェイスをハブポート#2に接続してから、別のケーブルをハブポート#3からLANインターフェイスに接続します。
次のような表示フィルターを使用して、キャプチャを照らします。
tcp.port eq 25 && src.ip != <your.mail.server.ip>
これらのフィッシングメールのメールヘッダーを表示できますか?探す Received: from
行。そのメッセージがどのコンピュータから送信されているかがわかります。
->> Received: from infected.computer ([192.168.1.X]) <<---
by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
これですぐにどこにも行けない場合は、SMTPのものだけをキャプチャするために適切なフィルタを使用してwiresharkを実行する価値があるかもしれません。そうすれば、ヘッダーが偽造されている場合でも、どのシステムが関係しているかを確実に確認できます。
受信者フィルタリングがオンまたはオフになっているかどうかを確認します。オフになっていて、ExchangeがNDRを送信するように構成されている場合、サーバーは存在しないユーザーに送信されたメールを受け入れる可能性があり、キューがNDRでいっぱいになります。
受信者フィルタリングをオンにすると、これが防止される可能性があります。既存でないユーザーに送信されたメールは、Exchangeによって受け入れられません。