Jump to content

Spamhaus - Mail Server = 2-0!


Stratos Develekos
 Share

Recommended Posts

Έχω στήσει ένα Server 2003 με τον Mail Server Role. Είναι η δεύτερη φορά αυτη την εβδομάδα που το spamhaus μπλοκάρει την ip του γιατι λέει στέλνει spam. Στα settings του IIS - SMTP Virtual Server έχω αφήσει να επιτρέπει στο Relay μόνο τις ip του εσωτερικού δικτύου και στο Authentication μόνο το Anonymous Access. Έχω ανοίξει και το logging αλλά δεν βλέπω κάποια περίεργη καταχώρηση. Διάβασα για το Reverse NDR Attack αλλά δεν βρίσκω κάποια λύση για αυτό...

 

Υπάρχει κάποιος τρόπος να επιβεβαιώσω γιατι ο server στέλνει spam;

 

Link to comment
Share on other sites

Εγώ κατ' αρχή θα έψαχνα αν όντως ο server μου είναι open relay, κάνοντας το αντίστοιχο τεστ που κάνω χρόνια από εδώ: http://www.abuse.net/relay.html και δε με έχει απογοητεύσει ποτέ. Αν αυτό το τεστ σε βγάλει full open relay (προσοχή σου βγάζει ένα ψαρωτικό 1ο μήνυμα καμιά φορά στην απάντηση ότι *μπορεί* να είσαι, που είναι false) τότε το ξανασυζητάμε.

Link to comment
Share on other sites

Αυτα είναι τα αποτελέσματα του τεστ...

 

Mail relay testing

Connecting to mail.domain.gr for anonymous test ...

 

<<< 220 mail.domain.gr Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Wed, 19 Nov 2008 08:56:18 +0200 

 

>>> HELO www.abuse.net

 

<<< 250 mail.domain.gr Hello [208.31.42.77]

 

 

Relay test 1

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<[email protected]>

 

<<< 250 2.1.0 [email protected] OK

 

>>> RCPT TO:<[email protected]>

 

<<< 550 5.7.1 Unable to relay for [email protected]

 

Relay test 2

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<spamtest>

 

<<< 250 2.1.0 spamtest@saturn.domain.net....Sender OK

 

>>> RCPT TO:<[email protected]>

 

<<< 550 5.7.1 Unable to relay for [email protected]

 

Relay test 3

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<>

 

<<< 250 2.1.0 <>....Sender OK

 

>>> RCPT TO:<[email protected]>

 

<<< 550 5.7.1 Unable to relay for [email protected]

 

Relay test 4

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<spamtest@mail.domain.gr>

 

<<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK

 

>>> RCPT TO:<[email protected]>

 

<<< 550 5.7.1 Unable to relay for [email protected]

 

Relay test 5

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<spamtest@[194.219.160.210]>

 

<<< 250 2.1.0 spamtest@[194.219.160.210]....Sender OK

 

>>> RCPT TO:<[email protected]>

 

<<< 550 5.7.1 Unable to relay for [email protected]

 

Relay test 6

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<spamtest@mail.domain.gr>

 

<<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK

 

>>> RCPT TO:<securitytest%abuse.net@mail.domain.gr>

 

<<< 550 5.7.1 Unable to relay for securitytest%abuse.net@mail.domain.gr

 

Relay test 7

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<spamtest@mail.domain.gr>

 

<<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK

 

>>> RCPT TO:<securitytest%abuse.net@[194.219.160.210]>

 

<<< 550 5.7.1 Unable to relay for securitytest%abuse.net@[194.219.160.210]

 

Relay test 8

>>> RSET

 

<<< 250 2.0.0 Resetting

 

>>> MAIL FROM:<spamtest@mail.domain.gr>

 

<<< 250 2.1.0 spamtest@mail.domain.gr....Sender OK

 

>>> RCPT TO:<"[email protected]">

 

<<< 250 2.1.5 "[email protected]"@saturn.domain.net 

 

Relay test result

Hmmn, at first glance, host appeared to accept a message for relay.

 

THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.

 

Some systems appear to accept relay mail, but then reject messages

internally rather than delivering them, but you cannot tell at this point

whether the message will be relayed or not.

 

You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message.

 

 

Άρα υποθέτω ότι υπάρχει πρόβλημα. Το θέμα είναι πως θα βρω γιατι κάνει relay o server...

 

 

Link to comment
Share on other sites

Εγώ πάλι νομίζω ότι δεν έχεις πρόβλημα. Κάνε και άλλο open relay test (ψάξε στο google για παρόμοιες υπηρεσίες) για να σιγουρευτείς, αλλά νομίζω ότι το 1 στα 8 test που σου πέρασε δεν θα έφτανε τελικά στον προορισμό του (θα το έκοβε Exchange στην πορεία).

Link to comment
Share on other sites

Το ίδιο έπαθα πρόσφατα σε ένα domain με 2003 Server, αλλά υπαίτιος δεν ήταν ο server, αλλά ένας XP client. O server δεν είχε ενεργό το built-in Mail. Ο client είχε αρπάξει ένα trojan (το οποίο σημειωτέον δεν έπιασε το NOD Business 3 που έχουν όλοι στην εταιρία), όταν άνοιξε ένα περίεργο mail. Eυτυχώς ο πελάτης αυτός δεν έχει static ip, οπότε μόλις άλλαξε η IP του router, όλα ΟΚ. Παρ'ολα αυτά τον έβγαλα από το blacklist του Spamhaus.

 

Μήπως δεν είναι ο server υπεύθυνος, αλλά κάποιος client;

 

K.M.

Link to comment
Share on other sites

Αν έχεις βρει κανένα από τα spam, απλά κοίτα τα headers του μηνύματος για να δεις το hostname του PC που το έστειλε. Αν πάλι δεν έχεις, θα πρέπει να στήσεις packet sniffer (Network Monitor ή Ethereal/Wireshark) στο σημείο εξόδου της κίνησης προς το internet.

Link to comment
Share on other sites

Με την ευκαιρεία να πούμε, ότι για να αποφεύγουμε θέματα με τα client pc, μπορούμε απλά στο firewall να κόβουμε το smtp προτόκολο προς τα έξω, και να το επιτρέπουμε μόνο για τον mail server της εταιρείας (exchange)

ΑΝ θέλουμε να στέλνουν οι χρήστες και με  smtp, μπορούμε να ενεργοποιούμε το relay του exchange για τα τοπικά IP's (default)

Link to comment
Share on other sites

Στον συγκεκριμένο server χρησιμοποιώ το firewall των windows. Πάω λοιπόν στο ΝΑΤ/Basic Firewall - Outbound Filters. Τι ρυθμίσεις πρέπει να βάλω στο σχετικό παράθυρο για να κλείσω το σχετικό port μόνο για τα clients;

 

i57jgynqakka14ngn87k.jpg

 

 

Link to comment
Share on other sites

Αυτό που θες να κάνεις είναι λάθος. Αν κλείσεις την πόρτα 25, δε θα περνάει καθόλου κίνηση από τους υπόλοιπους mail servers προς τα μέσα. Επίσης λάθος (κατά τη γνώμη μου) είναι να χρησιμοποιείς ένα host-based firewall όπως είναι αυτό των Windows για network-based υπηρεσίες όπως το SMTP. Καλό θα ήταν να πας σε dedicated firewall που ελέγχει όλη την κίνηση του δικτύου.

Link to comment
Share on other sites

Το κακό είναι ότι μέχρι τώρα τους έχω καλομάθει με το τσάμπα, μόνο με τα 2003...

Το κακό πάντως ξεκινά απο ένα pc του δικτύου που στέλνει απευθείας (όχι μέσω του mail server) spam, με την ip του server. Πήγα στον ΝΑΤ - mappings και είδα δεκάδες συνδέσεια απο αυτο το pc σε διάφορες εξωτερικές ip στην πόρτα 25. Το λυπηρό είναι ότι το TrendMicro δεν βρίσκει τίποτα...

 

Link to comment
Share on other sites

Ρε παιδιά έλεος δηλαδή. Πλέον βρίσκεις απίστευτα αξιόπιστα και ισχυρά προϊόντα με κόστος κάτω από 500€ + ΦΠΑ. Δηλαδή τι πάει να πει τσάμπα; Η πληροφορική δεν είναι έξοδα, είναι το Α και το Ω στη λειτουργία μιας επιχείρισης και το τσάμπα δεν είναι αυτό που φαίνεται. Το να μένεις κάποιες ώρες ή μέρες χωρίς e-mail επειδή σε τσίμπισε ο spam haus, ή επειδή έχεις το server σου φόρα παρτίδα, στοιχίζει ΠΟΛΥ περισσότερο από μερικά ευρώ. Ας αλλάξουμε πλέον νοοτροπία, μην υποτιμούμε έτσι τη δουλειά που κάνουμε και τις υπηρεσίες που παρέχουμε...

Πάντα φιλικά!

Link to comment
Share on other sites

Stratos: αν οι υπηρεσίες που παρέχουν οι υπολογιστές στην εταιρεία σου αποτιμούνται σε άνω των μερικών εκατοντάδων ευρώ αν αυτοί πάψουν να δουλεύουν, τότε αγόρασε ένα μικρό hardware firewall ή τον ISA. Αν η πληροφορική δεν δίνει καμία απολύτως προστιθέμενη αξία στην εταιρεία (πχ, στέλνουν με ΕΛΤΑ γράμματα και όχι e-mails, γράφουν σε τετράδια όχι στο Word κλπ) τότε μην ασχοληθείς να αλλάξεις firewall. Παιδέψου με host-based firewalls ανά server, ανά PC κλπ. Όσον αφορά τις συνδέσεις, είναι φυσιολογικό να υπάρχουν πολλές. Mail server είναι, με άλλους mail server συνδέεται. Αυτή είναι η βασική αρχή του SMTP. Τώρα, αν έχουν βρει κανένα username/password και spamάρουνε από κανένα λογαριασμό, αυτό θέλει διερεύνηση με τους τρόπους που έχω προαναφέρει.

gvarakis: Η πληροφορική είναι έξοδα. Καλώς ή κακώς είναι αναγκαίο κακό για τον επιχερηματία (όπως και το λογιστήριο).Το θέμα είναι τι χασούρα φέρνει στην επιχείρηση αν μηδενιστούν αυτά τα έξοδα. Εκεί θα καταλάβει ο έξυπνος επιχειρηματίας αν και πόσο θα πρέπει να επενδύσει στην υποδομή του. Αν δεν το καταλαβαίνει και τα θέλει όλα στο τζάμπα, απλά ξεσκονίζεις το βιογραφικό σου.

Link to comment
Share on other sites

Καλά τα λέτε παιδιά αλλά αρκετές εταιρίες αυτην την περίοδο τα βγάζουν πολύ δύσκολα πέρα. Όταν λοιπόν βλέπεις ότι ακόμα και εσένα κάνουν προσπάθεια για να καταφέρουν να σε πληρώσουν που είσαι εξωτερικός συνεργάτης δεν είναι εύκολο να τους αναβάζεις το κόστος

 

Link to comment
Share on other sites

Δηλαδή αν σταματήσουν να παίρνουν και να στέλνουν e-mails θα τα βγάζουν πέρα ευκολότερα;

Εγώ, ως εταιρεία integrator, ξέρω πολύ καλά πώς βλέπουν οι πελάτες τα έξοδα της πληροφορικής. Αλλά επίσης ξέρω πολύ καλά, πως όσοι έχουν επενδύσει σοβαρά στην πληροφορική, long term μειώνουν σημαντικά τα έξοδά τους και έχουν σημαντικά εργαλεία ανάπτυξης στα χέρια τους. Τέλος πάντων βγήκαμε εκτός θέματος, αλλά νομίζω είναι ένα θέμα που καίει την κοινότητα, ειδικά στην Ελλάδα, που δεν υπάρχει αντίστοιχη παιδεία και αντίληψη.

Να προσέχετε πάντως, γιατί αυτό που φαίνεται ότι είναι τσάμπα, πολλές φορές δεν είναι (εντάξει με εξαίρεση το Hyper-V [:P])

Link to comment
Share on other sites

 Share

×
×
  • Create New...