Stratos Develekos Posted November 17, 2008 Report Share Posted November 17, 2008 Έχω στήσει ένα Server 2003 με τον Mail Server Role. Είναι η δεύτερη φορά αυτη την εβδομάδα που το spamhaus μπλοκάρει την ip του γιατι λέει στέλνει spam. Στα settings του IIS - SMTP Virtual Server έχω αφήσει να επιτρέπει στο Relay μόνο τις ip του εσωτερικού δικτύου και στο Authentication μόνο το Anonymous Access. Έχω ανοίξει και το logging αλλά δεν βλέπω κάποια περίεργη καταχώρηση. Διάβασα για το Reverse NDR Attack αλλά δεν βρίσκω κάποια λύση για αυτό... Υπάρχει κάποιος τρόπος να επιβεβαιώσω γιατι ο server στέλνει spam; Link to comment Share on other sites More sharing options...
dimitris Posted November 18, 2008 Report Share Posted November 18, 2008 Εγώ κατ' αρχή θα έψαχνα αν όντως ο server μου είναι open relay, κάνοντας το αντίστοιχο τεστ που κάνω χρόνια από εδώ: http://www.abuse.net/relay.html και δε με έχει απογοητεύσει ποτέ. Αν αυτό το τεστ σε βγάλει full open relay (προσοχή σου βγάζει ένα ψαρωτικό 1ο μήνυμα καμιά φορά στην απάντηση ότι *μπορεί* να είσαι, που είναι false) τότε το ξανασυζητάμε. Link to comment Share on other sites More sharing options...
Stratos Develekos Posted November 19, 2008 Author Report Share Posted November 19, 2008 Αυτα είναι τα αποτελέσματα του τεστ... Mail relay testing Connecting to mail.domain.gr for anonymous test ... <<< 220 mail.domain.gr Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Wed, 19 Nov 2008 08:56:18 +0200 >>> HELO www.abuse.net <<< 250 mail.domain.gr Hello [208.31.42.77] Relay test 1 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<[email protected]> <<< 250 2.1.0 [email protected] OK >>> RCPT TO:<[email protected]> <<< 550 5.7.1 Unable to relay for [email protected] Relay test 2 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest> <<< 250 2.1.0 spamtest@saturn.domain.net....Sender OK >>> RCPT TO:<[email protected]> <<< 550 5.7.1 Unable to relay for [email protected] Relay test 3 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<> <<< 250 2.1.0 <>....Sender OK >>> RCPT TO:<[email protected]> <<< 550 5.7.1 Unable to relay for [email protected] Relay test 4 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@mail.domain.gr> <<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK >>> RCPT TO:<[email protected]> <<< 550 5.7.1 Unable to relay for [email protected] Relay test 5 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@[194.219.160.210]> <<< 250 2.1.0 spamtest@[194.219.160.210]....Sender OK >>> RCPT TO:<[email protected]> <<< 550 5.7.1 Unable to relay for [email protected] Relay test 6 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@mail.domain.gr> <<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK >>> RCPT TO:<securitytest%abuse.net@mail.domain.gr> <<< 550 5.7.1 Unable to relay for securitytest%abuse.net@mail.domain.gr Relay test 7 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@mail.domain.gr> <<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK >>> RCPT TO:<securitytest%abuse.net@[194.219.160.210]> <<< 550 5.7.1 Unable to relay for securitytest%abuse.net@[194.219.160.210] Relay test 8 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@mail.domain.gr> <<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK >>> RCPT TO:<"[email protected]"> <<< 250 2.1.5 "[email protected]"@saturn.domain.net Relay test result Hmmn, at first glance, host appeared to accept a message for relay. THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY. Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not. You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message. Άρα υποθέτω ότι υπάρχει πρόβλημα. Το θέμα είναι πως θα βρω γιατι κάνει relay o server... Link to comment Share on other sites More sharing options...
dimitris Posted November 19, 2008 Report Share Posted November 19, 2008 Εγώ πάλι νομίζω ότι δεν έχεις πρόβλημα. Κάνε και άλλο open relay test (ψάξε στο google για παρόμοιες υπηρεσίες) για να σιγουρευτείς, αλλά νομίζω ότι το 1 στα 8 test που σου πέρασε δεν θα έφτανε τελικά στον προορισμό του (θα το έκοβε Exchange στην πορεία). Link to comment Share on other sites More sharing options...
Stratos Develekos Posted November 19, 2008 Author Report Share Posted November 19, 2008 Καταρχήν Δημήτρη ευχαριστώ για τις απαντήσεις... Το πρόβλημα είναι ότι δεν έχω exchange σε αυτον τον server χρησιμοποιώ τον buil-in mail server που έχουν τα 2003 που δεν έχει sender id filtering Link to comment Share on other sites More sharing options...
dimitris Posted November 19, 2008 Report Share Posted November 19, 2008 Χμμ.. έτσι αλλάζει. Έχω την εντύπωση πάλι, όμως, ότι δεν έχεις πρόβλημα. Δες κι εδώ για επιπλέον δοκιμή: http://support.microsoft.com/kb/304897. Link to comment Share on other sites More sharing options...
costasppc Posted November 19, 2008 Report Share Posted November 19, 2008 Το ίδιο έπαθα πρόσφατα σε ένα domain με 2003 Server, αλλά υπαίτιος δεν ήταν ο server, αλλά ένας XP client. O server δεν είχε ενεργό το built-in Mail. Ο client είχε αρπάξει ένα trojan (το οποίο σημειωτέον δεν έπιασε το NOD Business 3 που έχουν όλοι στην εταιρία), όταν άνοιξε ένα περίεργο mail. Eυτυχώς ο πελάτης αυτός δεν έχει static ip, οπότε μόλις άλλαξε η IP του router, όλα ΟΚ. Παρ'ολα αυτά τον έβγαλα από το blacklist του Spamhaus. Μήπως δεν είναι ο server υπεύθυνος, αλλά κάποιος client; K.M. Link to comment Share on other sites More sharing options...
Stratos Develekos Posted November 19, 2008 Author Report Share Posted November 19, 2008 Για αυτο το λόγο έβαλα άλλο antivirus σε όλα τα client αλλά δεν άλλαξε κάτι. Αυτο που με προβληματίζει είναι το πως θα βρω ακριβώς ποιος και πως στέλνει τα spam.... Link to comment Share on other sites More sharing options...
dimitris Posted November 20, 2008 Report Share Posted November 20, 2008 Αν έχεις βρει κανένα από τα spam, απλά κοίτα τα headers του μηνύματος για να δεις το hostname του PC που το έστειλε. Αν πάλι δεν έχεις, θα πρέπει να στήσεις packet sniffer (Network Monitor ή Ethereal/Wireshark) στο σημείο εξόδου της κίνησης προς το internet. Link to comment Share on other sites More sharing options...
gvarakis Posted November 20, 2008 Report Share Posted November 20, 2008 Με την ευκαιρεία να πούμε, ότι για να αποφεύγουμε θέματα με τα client pc, μπορούμε απλά στο firewall να κόβουμε το smtp προτόκολο προς τα έξω, και να το επιτρέπουμε μόνο για τον mail server της εταιρείας (exchange) ΑΝ θέλουμε να στέλνουν οι χρήστες και με smtp, μπορούμε να ενεργοποιούμε το relay του exchange για τα τοπικά IP's (default) Link to comment Share on other sites More sharing options...
Stratos Develekos Posted November 27, 2008 Author Report Share Posted November 27, 2008 Στον συγκεκριμένο server χρησιμοποιώ το firewall των windows. Πάω λοιπόν στο ΝΑΤ/Basic Firewall - Outbound Filters. Τι ρυθμίσεις πρέπει να βάλω στο σχετικό παράθυρο για να κλείσω το σχετικό port μόνο για τα clients; Link to comment Share on other sites More sharing options...
dimitris Posted November 27, 2008 Report Share Posted November 27, 2008 Αυτό που θες να κάνεις είναι λάθος. Αν κλείσεις την πόρτα 25, δε θα περνάει καθόλου κίνηση από τους υπόλοιπους mail servers προς τα μέσα. Επίσης λάθος (κατά τη γνώμη μου) είναι να χρησιμοποιείς ένα host-based firewall όπως είναι αυτό των Windows για network-based υπηρεσίες όπως το SMTP. Καλό θα ήταν να πας σε dedicated firewall που ελέγχει όλη την κίνηση του δικτύου. Link to comment Share on other sites More sharing options...
Stratos Develekos Posted November 27, 2008 Author Report Share Posted November 27, 2008 Το κακό είναι ότι μέχρι τώρα τους έχω καλομάθει με το τσάμπα, μόνο με τα 2003... Το κακό πάντως ξεκινά απο ένα pc του δικτύου που στέλνει απευθείας (όχι μέσω του mail server) spam, με την ip του server. Πήγα στον ΝΑΤ - mappings και είδα δεκάδες συνδέσεια απο αυτο το pc σε διάφορες εξωτερικές ip στην πόρτα 25. Το λυπηρό είναι ότι το TrendMicro δεν βρίσκει τίποτα... Link to comment Share on other sites More sharing options...
gvarakis Posted November 28, 2008 Report Share Posted November 28, 2008 Ρε παιδιά έλεος δηλαδή. Πλέον βρίσκεις απίστευτα αξιόπιστα και ισχυρά προϊόντα με κόστος κάτω από 500€ + ΦΠΑ. Δηλαδή τι πάει να πει τσάμπα; Η πληροφορική δεν είναι έξοδα, είναι το Α και το Ω στη λειτουργία μιας επιχείρισης και το τσάμπα δεν είναι αυτό που φαίνεται. Το να μένεις κάποιες ώρες ή μέρες χωρίς e-mail επειδή σε τσίμπισε ο spam haus, ή επειδή έχεις το server σου φόρα παρτίδα, στοιχίζει ΠΟΛΥ περισσότερο από μερικά ευρώ. Ας αλλάξουμε πλέον νοοτροπία, μην υποτιμούμε έτσι τη δουλειά που κάνουμε και τις υπηρεσίες που παρέχουμε... Πάντα φιλικά! Link to comment Share on other sites More sharing options...
dimitris Posted November 28, 2008 Report Share Posted November 28, 2008 Stratos: αν οι υπηρεσίες που παρέχουν οι υπολογιστές στην εταιρεία σου αποτιμούνται σε άνω των μερικών εκατοντάδων ευρώ αν αυτοί πάψουν να δουλεύουν, τότε αγόρασε ένα μικρό hardware firewall ή τον ISA. Αν η πληροφορική δεν δίνει καμία απολύτως προστιθέμενη αξία στην εταιρεία (πχ, στέλνουν με ΕΛΤΑ γράμματα και όχι e-mails, γράφουν σε τετράδια όχι στο Word κλπ) τότε μην ασχοληθείς να αλλάξεις firewall. Παιδέψου με host-based firewalls ανά server, ανά PC κλπ. Όσον αφορά τις συνδέσεις, είναι φυσιολογικό να υπάρχουν πολλές. Mail server είναι, με άλλους mail server συνδέεται. Αυτή είναι η βασική αρχή του SMTP. Τώρα, αν έχουν βρει κανένα username/password και spamάρουνε από κανένα λογαριασμό, αυτό θέλει διερεύνηση με τους τρόπους που έχω προαναφέρει. gvarakis: Η πληροφορική είναι έξοδα. Καλώς ή κακώς είναι αναγκαίο κακό για τον επιχερηματία (όπως και το λογιστήριο).Το θέμα είναι τι χασούρα φέρνει στην επιχείρηση αν μηδενιστούν αυτά τα έξοδα. Εκεί θα καταλάβει ο έξυπνος επιχειρηματίας αν και πόσο θα πρέπει να επενδύσει στην υποδομή του. Αν δεν το καταλαβαίνει και τα θέλει όλα στο τζάμπα, απλά ξεσκονίζεις το βιογραφικό σου. Link to comment Share on other sites More sharing options...
Stratos Develekos Posted November 28, 2008 Author Report Share Posted November 28, 2008 Καλά τα λέτε παιδιά αλλά αρκετές εταιρίες αυτην την περίοδο τα βγάζουν πολύ δύσκολα πέρα. Όταν λοιπόν βλέπεις ότι ακόμα και εσένα κάνουν προσπάθεια για να καταφέρουν να σε πληρώσουν που είσαι εξωτερικός συνεργάτης δεν είναι εύκολο να τους αναβάζεις το κόστος Link to comment Share on other sites More sharing options...
gvarakis Posted November 28, 2008 Report Share Posted November 28, 2008 Δηλαδή αν σταματήσουν να παίρνουν και να στέλνουν e-mails θα τα βγάζουν πέρα ευκολότερα; Εγώ, ως εταιρεία integrator, ξέρω πολύ καλά πώς βλέπουν οι πελάτες τα έξοδα της πληροφορικής. Αλλά επίσης ξέρω πολύ καλά, πως όσοι έχουν επενδύσει σοβαρά στην πληροφορική, long term μειώνουν σημαντικά τα έξοδά τους και έχουν σημαντικά εργαλεία ανάπτυξης στα χέρια τους. Τέλος πάντων βγήκαμε εκτός θέματος, αλλά νομίζω είναι ένα θέμα που καίει την κοινότητα, ειδικά στην Ελλάδα, που δεν υπάρχει αντίστοιχη παιδεία και αντίληψη. Να προσέχετε πάντως, γιατί αυτό που φαίνεται ότι είναι τσάμπα, πολλές φορές δεν είναι (εντάξει με εξαίρεση το Hyper-V []) Link to comment Share on other sites More sharing options...
Recommended Posts