skywalkgr Posted April 28, 2009 Report Share Posted April 28, 2009 Καλησπερα σε ολους παιδια, Απο την προηγουμενη πεμπτη παρατηρω διαφορα περιεργα να συμβαινουν στον exchange 2007 στη δουλεια. Συγκεκριμενα στον Queue viewer στην καρτελα Queues μου εμφανιζει κατω απο το Next Hop Domain αρκετα domain σε (ru) στα οποια εχει γινει προσπαθεια αποστολης email (. Προσπαθησα με την χρηση του Message tracking να βρω απο που ξεκιναει ολη αυτη η ιστορια αλλα ματαια. Λεω θα βρω τον κατι , sender , message id κλπ κλπ αλλα τζιφος. Για παραδειγμα μεσα στο Queues αυτη τι στιγμη υπαρχει ενα domain tbm.ru (δεν το εβγαλα απο το μυαλο μου οντως υπαρχει) στο οποιο ο exchange να εχει να στειλει ενα μυνημα. Κανωντας ενα διπλο κλικ στο domain και μετα διπλο κλικ στο μυνημα μου εμφανιζει τα παρακατω: Identity: ServerHostName\31618\9Subject: Δεν παραδόθηκε: Равновесие Internet Message ID: <4ec1106a-84a1-48be-86ec-f965ff4a4179>From Address: <>Status: RetrySize (KB): 10Message Source Name: DSNSource IP: 255.255.255.255SCL: -1Date Received: 27/4/2009 11:10:20 μμExpiration Time: 29/4/2009 11:10:20 μμLast Error: 450 4.5.0 No recipient succeededQueue ID: ServerHostName\31618Recipients: [email protected] Μπορει καποιος να με βοηθησει; Τι πρεπει να κοιταξω; Eιναι καποιο ειδος r-NDR attack; Αν χρειαζεστε οποιαδηποτε αλλη πληροφορια για να βγαλετε καποιο συμπερασμα πολυ ευχαριστως να σας την δωσω. Ευχαριστω πολυ! Link to comment Share on other sites More sharing options...
Akladakis Posted April 28, 2009 Report Share Posted April 28, 2009 Δεν κοιτάς μήπως κάποιος απο τους clients σου έχει κολύσει κάτι που spamάρει? Link to comment Share on other sites More sharing options...
Blackman Posted April 28, 2009 Report Share Posted April 28, 2009 αρχικά να σου πω ότι το tracking δεν δουλεύει έτσι όπως τον φαντάζεσαι (αν δεν το έχεις δουλέψει ποτέ)...στον 2003 ισχύει το παρακάτω (φαντάζομαι και κάτι αντίστοιχο είναι και στον 2007)... http://www.msexchange.org/tutorials/Exchange-2003-Message-Tracking-Logging.html που περιγράφεται πολύ όμορφα τώρα για το θέμα σου... ένα σημαντικό πράγμα...μήπως έχεις τον server σου ενεργοποιημένο ως open relay; αρχικά να δούμε με τι επικοινωνεί... tbm.ru -> 213.247.251.93 Searching for tbm.ru. A record at F.ROOT-SERVERS.NET. [192.5.5.241] ...took 19 msSearching for tbm.ru. A record at NS.RIPN.NET. [194.85.105.17] ...took 57 msSearching for tbm.ru. A record at ns.tbm.ru. [213.247.129.188] ...took 45 msA record found: 213.247.251.93 Domain Type TTL Answer tbm.ru. NS 86400 ns4.nic.ru. tbm.ru. NS 86400 ns.tbm.ru. tbm.ru. A 86400 213.247.251.93 Total elapsed query time: 121 ms This is the RIPE Whois query server #1.% The objects are in RPSL format.%% The RIPE Database is subject to Terms and Conditions.% See http://www.ripe.net/db/support/db-terms-conditions.pdf% Note: This output has been filtered.% To receive output for a database update, use the "-B" flag.% Information related to '213.247.251.88 - 213.247.251.95'inetnum: 213.247.251.88 - 213.247.251.95netname: TBM-via-MACOMdescr: JSC "T.B.M."country: RUadmin-c: MK6403-RIPEtech-c: MK6403-RIPEstatus: ASSIGNED PAmnt-by: MACOMNET-MNTsource: RIPE # Filteredperson: Michael Karpovaddress: JSC "T.B.M."phone: +7 495 7457925fax-no: +7 495 7457925nic-hdl: MK6403-RIPEabuse-mailbox: kmv@tbm.rumnt-by: MACOMNET-MNTsource: RIPE # Filtered% Information related to '213.247.128.0/17AS8470'route: 213.247.128.0/17descr: Macomnet Telecommunications Co.origin: AS8470mnt-by: MACOMNET-MNTsource: RIPE # Filtered Φυσικά όταν μπεις στην σελίδα, θα δεις ότι είναι στα Ρώσικα, οπότε με τον μεταφραστή του google... http://translate.google.gr/translate?hl=el&sl=ru&u=http://www.tbm.ru/&ei=rCL2SfWJO8eF_QaI_9TlCQ&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3Dtbm.ru%26hl%3Del%26rlz%3D1T4GFRE_elGR323GR323 ή την αγγλική της έκδοση http://en.tbm.ru/ βρίσκουμε ότι είναι μία σελίδα για μία εταιρεία κατασκευής για τζάμια, πόρτες, παράθυρα κλπ... πρώτο ερώτημα... παίζει κάποιος να χρειάζεται επικοινωνία με την συγκεκριμένη εταιρεία; (δεν νομίζω να έχετε σχέση ...αλλά ρωτάω απλά) από την άλλη ρώσικες εταιρείες, γενικά είναι επίφοβες στο κομμάτι του Internet λόγο της χρήσης που κάνει η ρώσικη μαφία... παίρνεις NDRs; τα connections που βλέπεις από ότι κατάλαβα την ώρα που το κοιτάς δεν έχει κάποιο message για να δεις από που φεύγει...κάνω λάθος; πάντως googlarontas μέρος του μυνήματος βρήκα τα εξής: http://social.technet.microsoft.com/Forums/en-US/exchangesvr3rdpartyapps/thread/97526d9f-fb9d-4075-b2d6-6267fb7f2744 και στα περισσότερα αν το ψάξεις θα δεις ότι το πρώτο ερώτημα είναι αν ο server σου είναι open relay (by default ΔΕΝ ΕΙΝΑΙ) είναι αργά για να σκεφτώ κάτι άλλο...πάω να ξαπλώσω και αύριο πάλι... Link to comment Share on other sites More sharing options...
tsouvalasi Posted April 28, 2009 Report Share Posted April 28, 2009 Blackman καλημέρα, Άμα κρίνω από το περιεχόμενο, και από την ώρα, μήπως χαραμίζεσαι βρε παιδί μου την ημέρα; Δεν το ψάχνεις καλύτερα, και από black να γίνεις vampireman;;;J Γιάννης Link to comment Share on other sites More sharing options...
skywalkgr Posted April 28, 2009 Author Report Share Posted April 28, 2009 @Thanasis: Αν και εχω εγκατεστημενο σε ολα τα clients το Nod 32 Business edition και κανενα δε δειχνει να μην εχει ενημερωθει με τα τελευταια updates το θεωρω πιθανο. Υπαρχει καποιο προγραμμα που μπορει να βοηθησει; Λογικα θα πρεπει να πηγαινω απο καθε client και να το ψαχνω;... Link to comment Share on other sites More sharing options...
skywalkgr Posted April 28, 2009 Author Report Share Posted April 28, 2009 @Blackman: Καταρχην να σε ευχαριστησω για την απαντηση οπως και τα αλλα παιδια που ασχολουνται με το θεμα μου. Ας τα παρουμε με την σειρα... Εψαξα στο Internet και βρηκα μερικες πληροφοριες για το πως μπορεις να κανεις ελεγχο αν ο exchange ειναι Open Relay. Οι οδηγιες ειναι αυτες : http://www.amset.info/exchange/smtp-openrelay.asp , δοκιμασα χτες απο το σπιτι χρησιμοποιωντας την static ip address που εχω απο την Hol κανωντας telnet σε αυτη στο port 25 και μου απαντησε "Connection refused" η δοκιμη εγινε απο λειτουργικο mac os x 10.5.6 χρησιμοποιωντας το terminal. Δεν πιστευω ομως οτι παιζει ρολο. Εφοσον λοιπον απο εξω δεν καταφερα τπτ στην πορτα 25 λογικα ειναι η δεν ειναι open relay o exchange; Πιστευω οτι κανεις απο την εταιρια δεν χρειαζεται να εχει επικοινωνια με τη συγκεκριμενη εταιρια, αρα κατι αλλο συμβαινει. NDR πολυ καλη ερωτηση... Οπως ειπα παραπανω οταν ανοιξω το domain για να δω τα μυνηματα που προκειται να στειλει ο exchange σε αυτο στο πεδιο Sender εχει το εξης "<>". Αν λοιπον υποθεσουμε οτι sender δεν υπαρχει( πως ο exchange θα γυρισει NDR; Απλα ρωταω διοτι δεν γνωριζω ειλικρινα. Υπαρχει καποια μεθοδος με το message tracking να βρω απο που εφυγαν αυτα τα μυνηματα; Link to comment Share on other sites More sharing options...
Blackman Posted April 28, 2009 Report Share Posted April 28, 2009 http://en.wikipedia.org/wiki/Open_mail_relay για τα NDR μπορείς να φτιάξεις ένα λογαριασμό που να λαμβάνει όλα τα NDR που έρχονται στον server σου (τουλάχιστον αυτό γίνεται στον 2003, αν ΄τα θυμάμαι καλά)... πάντως, χαζά ρώτησα και εγώ, καθώς δεν νομίζω ότι θα το χρειαστείς όποιο NDR... τώρα είμαι full busy...όταν βρω χρόνο θα το δω λίγο πάλι... Link to comment Share on other sites More sharing options...
pkalog Posted April 29, 2009 Report Share Posted April 29, 2009 χμμμμ... spam spam, spam and spam! [] εαν εγω σαν spamer στειλω ένα email σε εναν user στο Domain σου που δεν υπάρχει π.χ denyparxo@<yourdomain>.grισχυριζόμενος οτι είμαι ο [email protected] , ο Server σου εάν δεν έχει ρυθμιστεί πρεπει λογικα να κανει τι ? οοο ναι να στείλει σε αυτη την address NDR, λογικά αυτο βλεπεις και εσύ να συμβαίνει. Αρα, κάνε ενα έλεγχο στην Anti-spam προστασία που έχεις, ίσως να θες να βάλεις τον Exchange να ελέγχει τους recipients τωνμυνημάτων που λαμβάνει αν είναι Valid. http://technet.microsoft.com/en-us/library/bb123891.aspx Link to comment Share on other sites More sharing options...
Blackman Posted April 29, 2009 Report Share Posted April 29, 2009 spam είναι σίγουρα, αλλά εμένα που φέρνει περισσότερο σε open relay συμπεριφορά γιατί μίλησε για πολλά connections και όχι ένα ή δύο... Link to comment Share on other sites More sharing options...
skywalkgr Posted April 30, 2009 Author Report Share Posted April 30, 2009 χμμμμ... spam spam, spam and spam! [] εαν εγω σαν spamer στειλω ένα email σε εναν user στο Domain σου που δεν υπάρχει π.χ denyparxo@<yourdomain>.gr ισχυριζόμενος οτι είμαι ο [email protected] , ο Server σου εάν δεν έχει ρυθμιστεί πρεπει λογικα να κανει τι ? οοο ναι να στείλει σε αυτη την address NDR, λογικά αυτο βλεπεις και εσύ να συμβαίνει. Αρα, κάνε ενα έλεγχο στην Anti-spam προστασία που έχεις, ίσως να θες να βάλεις τον Exchange να ελέγχει τους recipients των μυνημάτων που λαμβάνει αν είναι Valid. http://technet.microsoft.com/en-us/library/bb123891.aspx Το θεμα ειναι οτι δεν προσπαθουν να στειλουν email σε χρηστη που δεν υπαρχει στο active directory. Με καποιο τροπο που δεν μπορω να το εντοπισω βρισκω στα queues λιγα (απο 3 εως 5) domain σε .ru στα οποια προσπαθει ο exchange να στειλει μυνημα. Θα προσπαθησω με αλλο ενα παραδειγμα να γινω πιο κατανοητος... αυτη τι στιγμη το μηχανημα εχει στα queues για αποστολη 1 email προς το domain abma.ru (εχω ρωτησει ολο τον κοσμο μεσα στην εταιρια και κανεις δεν εχει στειλει το μυνημα) , αν κανω double click στο email εμφανιζει τις παρακατω πληροφοριες: Identity: ServerHostName\32652\3614 Subject: Δεν παραδόθηκε: Прайс-лист на услуги Internet Message ID: <6804c6c2-b3bf-4f30-960b-db24e21f37f0> From Address: <> Status: Ready Size (KB): 21 Message Source Name: DSN Source IP: 255.255.255.255 SCL: -1 Date Received: 30/4/2009 1:23:16 πμ Expiration Time: 2/5/2009 1:23:16 πμ Last Error: 400 4.4.7 Message delayed Queue ID: ServerHostName\32652 Recipients: [email protected] Δλδ με τα λιγα που ξερω και παω να τρελαθω Αποστολεας ΔΕΝ ΥΠΑΡΧΕΙ (From Address: <>) και παραληπτης ειναι ο [email protected] , αντε τωρα βγαλε συμπερασμα. Ειναι ενα μυνημα που μπηκε στο queue του exchange απο το πουθενα (τουλαχιστον κανεις χρηστης μεσα απο την εταιρια δεν το εστειλε) και χρησιμοποιει το μηχανημα μου για να το στειλει στο [email protected] . Δεν προσπαθει δηλαδη να μαντεψει χρηστες του active directory στο domain μου. Αλλη δουλεια προσπαθει να κανει... αλλα τι; Link to comment Share on other sites More sharing options...
skywalkgr Posted April 30, 2009 Author Report Share Posted April 30, 2009 spam είναι σίγουρα, αλλά εμένα που φέρνει περισσότερο σε open relay συμπεριφορά γιατί μίλησε για πολλά connections και όχι ένα ή δύο... Εκανα ελεγχο στις ρυθμισεις του exchange και δεν ειναι open relay , απ εξω εκτος lan δεν μπορεις με τπτ μεσω telnet να μπεις στον exchange. Πως γινεται να ειναι open relay; Link to comment Share on other sites More sharing options...
pkalog Posted May 6, 2009 Report Share Posted May 6, 2009 τα μυνήματα που βλέπεις είναι NDR, Subject: Δεν παραδόθηκε: Прайс-лист на услуги αρα το σενάριο είναι απλο, εγω σαν [email protected] στελνω στον [email protected] ο Server όμως δεν βρίσκει τον recipient αυτό και στέλνει το NDR το οποίο βλέπεις στο queue. γι αυτό δεν έχει και Sender Address [] Link to comment Share on other sites More sharing options...
Akladakis Posted May 6, 2009 Report Share Posted May 6, 2009 Νομίζω οτι ο Παύλος έχει δίκιο, αυτό που βλέπεις είναι mail Που στέλνει ο exchange στον ...ρώσο. Είναι NDR οπότε είτε κόψε τα NDR ή αύξησε την anti-spam προστασία. Link to comment Share on other sites More sharing options...
Blackman Posted May 6, 2009 Report Share Posted May 6, 2009 κόψε τα NDR από τον server... αλλιώς scanare όλο το δίκτυο σου για κακοπροέραιτα προγράμματα Link to comment Share on other sites More sharing options...
Blackman Posted May 11, 2009 Report Share Posted May 11, 2009 κανένα νέο είχαμε; Link to comment Share on other sites More sharing options...
Recommended Posts