Exchange 2010はスパムを送信します
スマートホストを使用してメールを送信するExchange Server 2010があります。 1日前に、スマートホストの所有者から連絡があり、スパムを送信するように言われました。
ネットで別のオープンリレーテストを試してみましたが、このサーバーはセキュリティで保護されており、リレーサーバーとして使用できないと言って全員が戻ってきました。しかし、Exchangeキュービューアで、新しいメッセージが引き続き送信されることがわかります。これがどのように見えるかの例です。
Identity: mailserver\3874\13128
Subject: Olevererbart:: [email protected] Pfizer -75% now
Internet Message ID: <[email protected]>
From Address: <>
Status: Ready
Size (KB): 6
Message Source Name: DSN
Source IP: 255.255.255.255
SCL: -1
Date Received: 2010-12-09 21:46:22
Expiration Time: 2010-12-11 21:46:22
Last Error:
Queue ID: mailserver\3874
Recipients: [email protected]
Exchangeサーバーのセキュリティを強化して、これを防ぐにはどうすればよいですか?
Exchangeサーバーに接続してメールを送信するウイルスを入手できますか?
差出人アドレスは常に<>であることがわかりますが、私が説明している差出人アドレスのないメールの送信を停止できるのはなぜですか。
喜んで助けて
すでにインターネットからオープンリレーテストを試したので、これはスパムを送信している内部ネットワーク上のコンピューターであることを意味します。ウイルスに感染したマシンである可能性が高いため、緊急の対処も必要です。
ネットワーク内からのオープンリレーを許可するように設定された受信コネクタがあるように思えます(そのため、外部テストでは受信されませんでした)。
メッセージ追跡ログには、メールが受信されている受信コネクタが示されているため、その受信コネクタのプロパティを調べて、それらをより制限する必要があります。 Exchange管理シェルでGet-MessageTrackingLog -MessageId "<<Spam Message ID>>" |ft MessageId, ConnectorIdコマンドを使用して、経由する受信コネクタを取得します。
私の推測では、受信コネクタは、認証されていない電子メールを送信する必要がある特定のIPアドレスではなく、内部ネットワーク全体(たとえば10.1.1.1から10.255.255.255)からのメールを受け入れるように設定されています。
標準的な方法では、Exchangeのインストール時に作成された受信コネクタをそのまま残し、次の設定で新しい受信コネクタ(たとえば、「匿名リレーを許可する」)を作成します。
- Networkタブで、ポート25で使用可能なすべてのIPアドレスをリッスンします
- Networkタブで、認証されていないメールを送信する必要があるIPアドレスを追加します(プリンター、Webサーバー、監視ソフトウェアなど)
- Authenticationタブで、Externally Securedを除くすべてのチェックを外します(たとえば、IPSecを使用して)
- 許可グループタブで、Exchange Serversを除くすべてのチェックを外します
編集:すみません!最後の行で、Anynymous users以外のすべてのチェックを外すと言いました-私は本当にExchange Servers。私の悪い: '(
リレー構成が正しく、オープンリレーとして構成されていない場合は、次のいずれかが考えられます。
- 侵害されたユーザーアカウントが、公にアクセス可能なSMTPサービスに接続し、認証を行い、スパムを送信している
- Exchangeを介して認証されていない中継を許可されたネットワーク上のサーバーが危険にさらされており、Exchangeサーバーを介してスパムを送信している
- 上記と同じですが、デスクトップマシンの場合
いずれの場合も、その電子メールの宛先アドレスについて配信レポートをチェックする必要があります。これにより、メッセージの送信側ユーザーと発信元システムの両方が提供されます。
同じ問題がありました。これは、ネットワーク内のコンピュータがスパムを送信したことが原因でした。コンピュータを見つけるのは難しいですが、少し違う方法で見つけることができました。これが原因を見つける方法です。これにより、ネットワークが一時的にダウンします。
Wireshark を取得してインストールします。しばらくの間、コンピュータを紛失してもかまわないでしょう。 HUBを取得します(はい、古いネットワークデバイスの1つです:))。これはすべてのトラフィックをすべてのポートに転送するため、これがハブであることが重要です。ネットワークとモデムの間にハブを接続します。 Wireshark でコンピューターをハブにも接続します。以下のように
インターネット-----ハブ---- WireSharkコンピュータおよびスイッチ
Wireshark を開いてキャプチャを開始すると、すべてのネットワークトラフィックが取得されます。キャプチャフィルターを設定して、25を除くすべてのポートと、既知のすべてのIPが問題ないことを無視します。
有効にしたクライアントプロトコルは何ですか?また、送信メールを受け入れる前にクライアント認証を要求するように構成されているクライアントプロトコルは何ですか?
Exchangeアンチスパム機能 も確認する必要があります。
Powershellでコマンドを試しましたが、connectoridが空です。これは実際には送信されないためかもしれません(キュービューアでメッセージIDを見つけました)。
作成したメールと迷惑メールの1つがmessageidに表示されます。つまり、メールには作成したメールサーバーの名前が指定されていますが、迷惑メールではドメイン名のみです。
例:[email protected]と[email protected]
メールサーバーにネットワークスニファを設定し、メールを送信しているネットワーク内のコンピュータを確認する必要があると思います...
これは、Power Shellコマンドから取得した情報です。
Identity : MAILSERVER\Default MAILSERVER AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer Bindings : {192.168.0.5:25} Enabled : True PermissionGroups : AnonymousUsers, ExchangeUsers, ExchangeServers RemoteIPRanges : {0.0.0.0-255.255.255.255}
Identity : MAILSERVER\Client MAILSERVER AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS Bindings : {192.168.0.5:587} Enabled : True PermissionGroups : ExchangeUsers RemoteIPRanges : {192.168.0.0/26}
ファイアウォールのポート25を閉じると、スパムが停止します。したがって、それはオープンリレーでなければなりません。しかし、それがすべてのテストに合格するのは奇妙であり、私はそれを止める方法がわかりません。
デフォルトコネクタからAnonymousUsers(これは良い考えのように見えます)を削除すると、スパムは停止しますが、メールを受信できません。 「他のサーバーが返したエラーは530 530 5.7.1クライアントが認証されませんでした(状態13)。」を取得します。エラー、誰かが私たちのサーバーにメールを送信しようとしたとき。