Как Вы обнаруживаете спам-робот в своей сети?
Можно всегда использовать HVM, если это - опция на аппаратных средствах. Иначе я, вероятно, установил бы более новые xen-инструменты (который поддерживает выносливые установки), и просто создайте далеко. Существует возможность, что Hardy не поддерживает ядро Xen, которое поставлется с щеголеватым (глупый udev), но это стоит испытать. Если это не работает, Вы смогли использовать domU ядро от Hardy в просто выносливом domU, но гипервизор, изменения API могли бы сделать это проигрывающим суждением. Снова, стоящий эксперимента.
Во-первых, необходимо остановить спам.
a-устанавливают Ваш брандмауэр для не разрешения исходящего SMTP/POP кроме от почтового сервера.
b-устанавливают Ваш почтовый сервер для не разрешения исходящего реле.
Затем необходимо найти проблемную машину (машины).
1-Взглядов на брандмауэр регистрируются для наблюдения, какая машина (машины) на самом деле пытаются сделать исходящую почту и заблокированы. Те машины заражены.
2-Удостоверяются, что каждая машина имеет текущий A/V, и сделайте полное сканирование на каждой машине.
3-можно хотеть реализовать Windows Firewall на каждой машине.
4-, Если все еще не найдено необходимо будет использовать сниффера.
Примечание: Я не думаю, что DNS и электронная почта на том же сервере являются проблемой.
-
1Честно это походит на хорошее решение. Однако быть слишком знакомым с Exchange 2003 ограничивает мое знание того, как пойти о реализации этого. Я предполагаю we' ll просто должен нанять кого-то за пределами компании с большим знанием сети/сервера. – mav 28 May 2009 в 21:56
-
2" Реле restrictions" управляются на " Access" вкладка " SMTP Виртуальный Server" страница Properties. Это - набор слоев вниз через менеджера по Системе обмена. Полным путем (на моем сервере) является Группа admin Admin Groups / Первая Группа admin/Servers/< < сервер name> >/Protocols/SMTP/Default Виртуальный сервер SMTP. – tomjedrz 28 May 2009 в 22:13
Проблема могла состоять в том, что тот Ваш Exchange Server позволяет РЕЛЕ. Удостоверьтесь, что установка выключена или установила только дюйм/с, которым позволяют передать через тот сервер. Ваше проектирование сети должно только позволить Exchange Server отправлять трафик из Вашей сети через порт 25.
Большинство спам-роботов использует порт 25. После того как у Вас есть установка как этот, затем если какая-либо другая попытка машины отправить через порт 25 она обнаружится в журналах брандмауэра.
Удачи!
-
1Как я проверяю свои опции Relay Exchange Server так, чтобы я мог выключить его? – mav 28 May 2009 в 18:23
-
2
- Необходимо осуществить сниффинг сетевого трафика. Существует много хороших доступных инструментов, полностью от простых пакетных дампов, подобных tcpdump полностью для представления приложений визуализации GUI. Обычно Вы должны будете также: a) включите специальный порт на своем переключателе, b) настройте другой порт для наблюдения всего трафика, или c) сделайте сниффинг от своего брандмауэра/маршрутизатора. Сначала просто внимание на нахождение трафика SMTP к внешнему миру от любой машины, это не Exchange, разъединяет. Позже необходимо исследовать весь трафик, чтобы видеть, продолжается ли что-либо еще: IRC от чьей-то машины, кто даже не знает, каков IRC, например.
- Запишите простой оператор языка того, какой трафик должен быть позволен из Вашей сети, и реализовывать исходящие правила в Вашем брандмауэре/маршрутизаторе, с входом. Вы будете удивлены, как хорошо это работает. И это будет также означать, что Вы будете знать, когда что-то плохо произойдет перед слушанием его от внешней стороны!
Где Ваши данные хранятся? Действительно ли оборудование главным образом идентично? Могло бы быть самым легким повторно отобразить партию их.
-
1Наши почтовые данные хранятся локально на каждом компьютере. У нас есть другие серверы однако, я не полагаю, что они должны влиять на наш почтовый сервер. – mav 28 May 2009 в 18:11
Если у Вас есть брандмауэр, простое решение состоит в том, чтобы заблокировать весь исходящий порт 25 трафиков за исключением Вашего Exchange Server. Отдельные машины, вероятно, пытаются отправить спам самостоятельно. После того как Вы поместили блок на месте, проверьте журналы брандмауэра для наблюдения, который IP пробует и приводит к сбою, для удара порта 25 исходящих.
Я использовал программу под названием Showtraf до настоящего времени, который контролирует трафик в сети. У нас была подобная проблема прежде, и она показала IP, который отсылал объемы данных жилетов по порту 25.
Доступный здесь - http://demosten.com/showtraf/