помещенный в черный список обменный 2003
Мне никогда не удавалось добраться umount -f работать. Полезный прием должен настроить другой сервер, монтирующий тот же экспорт, дать ему тот же IP-адрес как старый сервер. Ваш клиент NFS должен думать, что все вернулось как нормальное, и процессы разблокируют. Можно затем обычно размонтировать точку монтирования и удалить IP-адрес из временного сервера NFS.
Потребовалось несколько дней, но мы полагаем, что наконец разрешили проблему. Оказывается, что, когда наш брандмауэр был заменен, новая конфигурация отсылала отчеты за пределами нашей сети и затем обратно в, вместо просто внутренне. Это не было бы проблемой, если почтовое реле в брандмауэре было установкой с FQDN, но это было на самом деле замечено максимально универсальный IP 127.0.0.1, который затем брался спам. Так несколько дней стрельбы проблемы был результат всего одного неправильно сконфигурированного электронного письма, выходящего в полночь каждую ночь.
Хм... с чего начать.
Ваш Exchange Server не устанавливает исходящие связи SMTP с другим портом FROM почтовых серверов 25, он устанавливает те исходящие связи порт TO 25. Это - способ, которым все хосты TCP\IP работают независимо от рассматриваемого сервиса (по большей части, но для этого аргумента полагают, что это имеет место). Exchange использует локальный порт в эфемерном диапазоне портов, поскольку это - исходящий порт, и он соединяется с другим почтовым сервером на порте тех серверов 25. Это работает наоборот, когда другие почтовые серверы соединяются с Вашим Exchange Server для отправки, Вы посылаете по электронной почте, другие подключения сервера от одного из, его - эфемерные порты для портирования 25 на Exchange Server.
Почему Вы думаете, что брандмауэр относится к этой проблеме? Когда брандмауэр перестал работать разве, Вы не имели в распоряжении заменяющий брандмауэр? Что защищало Вашу сеть, в то время как Вы ожидали нового брандмауэра?
Если какая-либо из Ваших рабочих станций заражена вредоносными программами затем, они находятся в опасности для отправки спама через Exchange Server через MAPI или SMTP (в зависимости от того, как рабочие станции и Exchange Server настроены), или от себя.
Просто наличие брандмауэра перед Вашим Exchange Server не имеет никакого отношения, будет ли Ваша исходящая почта отмечена как Спам или будет ли исходящий IP-адрес серверов Вашего Exchange помещен в черный список. Внешние почтовые серверы не имеют никакого способа обнаружить, является ли Ваш Exchange Server позади брандмауэра. Брандмауэр может уменьшить вероятность того, чтобы быть помещенным в черный список путем ограничения исходящего трафика SMTP просто, что из Exchange Server, который, по-видимому, не используется в качестве реле.
Ваш первый tcpdump показывает информацию о сеансе TCP для того, что является, по-видимому, сеансом связи SMTP, но не дает Вам информации относительно того, что сессия SMTP и поэтому почти бесполезна в поиске и устранении неисправностей Вашей проблемы.
Ваш второй tcpdump не показывает соединения SMTP, что я мог найти и поэтому бесполезен в поиске и устранении неисправностей Вашей проблемы.
Все, что быть сказанным, вот несколько указателей:
Удостоверьтесь свои серверы Exchange, исходящее приветствие соответствует FQDN для Вашей общедоступной записи MX.
Удостоверьтесь, что настроили запись PTR в своем общедоступном DNS для FQDN Exchange Server.
Удостоверьтесь, что настроили запись SPF в своем общедоступном DNS.
Ограничьте весь исходящий коммуникационный порт TO 25 для всех внутренних узлов кроме Вашего Exchange Server.
Ни один из них, как не гарантируют, избежит Вас черных списков, но они полезны в том отношении.
Как заключительное примечание, включите SMTP, входящий в систему Ваш Exchange Server так, чтобы у Вас была запись журнала всех входящих и исходящих сессий SMTP. Это неоценимо в поиске и устранении неисправностей проблем SMTP.
-
1Спасибо за разъяснение использования портов. Я думал, заблокировали ли мы весь исходящий трафик SMTP из нашей сети, которая предотвратила бы спам от зараженного ПК. Только позволяя трафик SMTP на порте 25 из просто нашего Exchange Server я полагал, что это сузит, куда спам может прибывать из. Но если я понимаю правильно, что это могло бы все еще прибыть от зараженного ПК до mapi или smtp с помощью Exchange Server. Нет у нас не было запасного FW, таким образом, мы были без в течение приблизительно 6 часов, пока мы не получили временный от локального хранилища при ожидании ночной замены. – PBK 2 July 2010 в 21:42
-
2Поскольку клиенты отправляют через Exchange, Ваш Exchange Server может стать невольным спам-роботом для зараженной машины. Я советовал бы выполнять полное вредоносное сканирование на всех Ваших машинах. документация – joeqwerty 2 July 2010 в 21:51
Не много для продолжения здесь, но CBL только перечислит Вас, потому что у Вас есть инфраструктура, которая использовалась отправителями спама. Это могло бы означать отсылку спама но это могло бы также означать, что у Вас есть открытый прокси (HTTP, Носки или другой), или у Вас может быть уязвимая форма HTML на веб-сайте, который Вы размещаете. CBL должен дать некоторое представление относительно того, почему Вы были перечислены.
Если Ваши машины отсылают спам затем, у Вас должно, вероятно, быть значение по умолчанию, отклоняют - вся политика в отношении Вашего брандмауэра, тесно контролируют и позволенный и отклоненный трафик и только открытые порты, когда Вы уверены, что ничто не пытается отослать на тех машинах. Необходимо также смотреть, в каких портах Вы имеете открытый внешне, чтобы удостовериться, что никто не использует формы прокси, и необходимо удостовериться любые веб-сайты, которые Вы размещаете, безопасны.
Вы упомянули выполнение McAffee на всех машинах. Описания вирусов усовершенствованы? Если у Вас есть некоторое предложение относительно конкретных машин, ведущих себя плохо затем, Вы могли бы хотеть запустить антивирус другого поставщика на них, чтобы видеть, пропустил ли McAffee что-нибудь.
Вы, вероятно, также хотите удостовериться, что Вы не открыть реле SMTP, хотя этого обычно не достаточно для перечисления Вас с CBL.
-
1Спасибо за справку. Я попытаюсь обратиться к Вам комментарии, у нас только есть sharepoint интранет, никакой исходящий веб-сайт направления, она размещается третьей стороной. У нас действительно есть политика FW ограничить весь трафик SMTP в сети от выхода execpt для из нашего Exchange Server на порте 25. Наше вирусное определение до дня в течение приблизительно 6 часов. Я не полагаю, что мы - открытое, полагаются согласно обменным настройкам, онлайн сообщает. Наш брандмауэр обеспечивает, потратил изрядное количество времени, просмотрев наш FW, регистрирует прошлые 2 дня и не нашел вещи. – PBK 2 July 2010 в 21:30
-
2я отправил часть журнала smtp. Мы используем mxlogic в качестве почтового сервиса фильтрации для входящей корреспонденции. – PBK 2 July 2010 в 21:49