Вирус, посылающий электронные письма фишинга через Exchange Server
Вы используете перспективу и используете ключ для readyboost?
Вы могли быть жертвой Обратного нападения Спама NDR. Названное Обратное рассеяние некоторыми.. Проверьте эту статью. Это говорит о 2003 SBS, но Exchange имеет ту же проблему. Это нападение кажется более общим правом теперь.
Взгляните на это также. Больше информации, возможно. Мы видели это точное поведение в нашем поле Ex 2003 недавно. Спам NDR
-
1это doesn' t, кажется, проблема. В соответствии со статьей KB электронные письма имели бы отправителя *postmaster*@mydomain.com, но электронные письма имеют отправителя " service@paypal.com" I' m не PayPal. Там какой-либо путь состоит в том, чтобы определить IP источника этих электронных писем? – therulebookman 22 April 2010 в 20:54
-
2Посмотрите мои обновления – Dave M 22 April 2010 в 21:48
-
3У Вас конкретно была ситуация PayPal? И по существу решение состояло в том, чтобы включить получателю, фильтрующему? – therulebookman 23 April 2010 в 16:28
-
4Я думаю, что фильтрация получателя зафиксировала его, но I' m действительно не уверенный. Я can' t помнят все вещи, которые я попробовал. It' s зафиксированный так или иначе. – therulebookman 10 May 2010 в 22:25
Скажите Вашему брандмауэру отбрасывать любые исходящие пакеты SMTP ко всем хостам кроме Вашего почтового сервера. Это предотвратит любой прямой спам SMTP от любой из Ваших потенциально зараженных рабочих станций.
Вы говорите, что Ваш почтовый сервер не является открытым реле, но Вы позволяете реле от LAN? Много людей делает это, когда они устанавливают MFPs, сканеры, и т.д. Можно протестировать путем скачкообразного движения на другой рабочей станции и выполнении:
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: nobody@example.com
rcpt to: somebody@notyourdomain.com
если Вы возвращаетесь 250 OK, Вы позволяете реле, и бот может легко передавать почту от Вашего почтового сервера.
Для нахождения рабочей станции, это посылает спам, захватите ноутбук, установите WireShark. Поместите свой ноутбук на концентратор (удостоверьтесь, что это - концентратор), и включите свой интерфейс LAN на Вашем брандмауэре в порт концентратора № 2 и затем включите другой кабель от порта концентратора № 3 в интерфейс LAN.
Осветите получение с фильтром дисплейного отображения как:
tcp.port eq 25 && src.ip != <your.mail.server.ip>
-
1никакая передача изнутри также, если это не с одного определенного сервера. Протестированный с Вашим методом. Couldn' t я просто использую wireshark на самом сервере для предотвращения времени простоя с методом ноутбука/концентратора? – therulebookman 23 April 2010 в 17:12
-
2С сервера, you' ll только видят пакеты, направленные к серверу (помимо широковещательного материала) самого, не целая сеть. I' d хотят видеть, что все пытается выйти. Shouldn' t действительно быть любым временем простоя - просто быстрое в / этом shouldn' t быть замеченным. – gravyface 23 April 2010 в 20:21
Можно ли просмотреть почтовые заголовки на тех электронных письмах фишинга? Искать Received: from строка. Это скажет Вам, какой компьютер, из которого прибывает сообщение.
->> Received: from infected.computer ([192.168.1.X]) <<---
by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
Если Вы скоро не добираетесь нигде с этим, могло бы стоить выполнить wireshark с подходящим фильтром для получения просто материала SMTP. Тем путем Вы будете, конечно, видеть, какая система включена, даже если заголовок фальсифицируется.
Проверьте, включается ли получатель, фильтрующий, или выключается. Если это будет выключено, и Exchange настроен для отправки NDR's, то сервер, вероятно, примет почту, отправленную в не существующие пользователи, заставляя очередь заполниться NDR's.
Включение получателя, фильтрующего, скорее всего, предотвращает это. Письма, отправленные в не существующие пользователи просто, не будут приняты Exchange.