Spammail - open relay.

3 innlegg i emnet

Skrevet

Hei,

Sliter litt med en exchange 2003 server. går ufattelige store mengder mail gjennom den, og ingenting av det er til 'oss' eller fra oss.

Denne serveren er mailserveren til bedriften, og den står bak en fortigate brannmur, vi har bare en offentlig ip addresse, så alt blir nat'et. Har prøvd diverse instillinger i exchange admin, deriblant på <servernavn>, protocols, smtp, relay - kun ført opp vårt interne nett, 172.17.34.0/24.

Samtidig på connectors, default smtp connector, address space sjekket at det ikke finnes kryss på 'allow messages to be relayd to these domains', så nå er jeg gruelig blank. Inntil videre har jeg satt den til å forwarde mail til en annen server, fordi hvis jeg velger at vår server skal ta seg av smtp mail, så hoper det seg bare opp med mail.

Kan det være noe lokalt på serveren som er galt? Når jeg kjører wireshark på port 25, så er det kun trafikk mellom gateway og mailserver, så jeg tviler på at det er andre maskiner i nettet som sprer søppel, dessuuten er det sperret for alle andre enn mailserver på port 25 ut av nettet. (og inn naturligvis).

Nå aner jeg ikke hvor jeg skal fortsette.... noen som har noen gode forslag?

\\marty

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du kan jo begynne med å skru på message tracking hvis du allerede ikke har det påskrudd og se på mailene som går ut fra mailserver, hvilken IP de opprinnelig kommer fra. Kan jo være en infiserte pc på LAN'et ditt da.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei,

Satte på litt logging, dette er en av linjene.

Selve loggfila pusher 16mb etter ni minutter, sådet er snakk om etpar mail...

client-ip Client-hostname Partner-Name Server-hostname server-IP Recipient-Address Message-Subject Sender-Addre.

172.17.34.1 yahoo.co.jp - 2K3SERVER 172.17.34.104 zxc3636123666@yahoo.com.tw ycwwrsxfhyk@yahoo.co.jp -

Dette er mail som ikke har noe tilhørighet her, så jeg regner med at serveren står som en open relay, men jeg finner ingenting som tyder på det, snarere tvert om, finner ikke flere instillinger som tilsier at det skal sendes mail ut herfra medmindre man er en del av nettet..

Brannmuren min er 172.17.34.1

\\marty

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive