| User |
Post |
|
09:34
Апрель 17, 2008
|
|
vassago
|
|
|
|
|
|
Member
|
|
posts 13
|
|
|
|
|
Суть проблемы, 2 дня назад началась интересная штука…
В очереди на отправку smtp на серваке постоянно начали скапливаться сообщения адресованные на разные ящики доменов ms.hinet.net и yahoo.com.tw отправляются они от отправителей вида =?BIG5?B?U7LAKDFJBB=?= далее идет адрес типа jsdk@имя_нашей_МХ_записи ОЧЕРЕДЬ РОСЛА ПО 50 СООБЩЕНИЙ В 5 СЕКУНД. в СПИСКЕ ОЧЕРЕДЕЙ ПОРЯДКА 60-70 ЗАПИСЕЙ ВИДА MS1.HINET.NET MS2.HINET.NET MS3.HINET.NET самый большой это YAHOO.COM.TW НА НЕГО ПО НЕСКОЛЬКО ТЫСЯЧ ЗА ЧАС
После упорного рассмотрения выяснилось, что каким-то образом через наш сервер пытаются отправить нехилое количество писем, причем от несуществующего отправителя – несуществующему получателю. Сам сервер настроен по всем правилам: т.е. закрыт relay, отправка ndr- закрыта, включены все фильтры кроме sender id, и все равно, каким-то образом эта гадость ломится и забивает очередь. Вчера под вечер отключил интернет, и просто ручками переименовал папку queue, чтобы очередь пропала вся, это получилось, но утром подключив интернет, налетел опять на такую же хрень, и сейчас очередь снова растет, проверил сам сервак на вирусы, нашел только в папке badmail, все удалил но не помогает…
По нету нашел только ссылки на релай и не отключенные ndr, но у меня уже давно настроено все правильно, не могу понять как от этого избавиться, пока что смог только ограничить нагрузку тем, что ограничил до 20 кол-во одновременных получателей, правда смешно то, что судя по логам эта зараза тоже перестроилась по кол-ву отправителей… Никто не сталкивался с таким?? Боюсь, что далше будет только хуже, за выходные почтовик может переполниться…
|
Не все то виндовс, что висит..
|
|
|
23:30
Апрель 21, 2008
|
|
Dmitry Emelyanov
|
|
|
|
|
|
Member
|
|
posts 37
|
|
|
|
|
У меня была такая штука, при этом кроме 100% нагрузки на сервер Exchange и практически его отказа от обслуживания своих клиентов, намоталось несколько гигов трафика.
Видишь ли какая штука, несмотря на то что ты несколько раз пишешь про то, что релей у тебя настроен правильно, он у тебя все таки открытый, что наверное всеж неправильно. Сейчас объясню.
Наверняка ты захотел дать своим внешним пользователям доступ к своим ящикам по POP3(IMAP4) и SMTP. Едем дальше, поскольку почтовые сервера общаются между собой по протоколу SMTP, нельзя закрывать анонимный доступ к SMTP твоего сервера, иначе ты не получишь ни одного письма. Ничего страшного, скажешь ты, ведь релей то у меня закрытый. Да, так было до того момента, пока внешние юзеры не сказали тебе, что не могут отправить письма в другие домены и ты открыл им релей. Но! вместе с этим открылся релей и для анонимных юзеров, который вычисляется за 1-2 дня и с твоего домена пошел спам..
Погоди, еще провайдер тебе натолкает, если вовремя все не исправить..
Решений несколько:
1. Откажись от POP3, юзеры, подключившиеся нативным способом (MAPI, OWA, RPC/HTTP) имеют право релеить по умолчанию.
2. Разреши релей только определенным адресам (скоро тебе надоест добавлять ИПшники).
3. Создай второй коннектор SMTP, который требует обязательной авторизации. Скорей всего тебе потребуется 2ой реальный ИПшник, ну да ничего не поделаешь. Его DNS имя будешь давать юзерам для подключения к серверу из интернет.
4. Наверное есть еще способы, но для этого потребуется дополнительный софт.
Пиши, если нужны подробности.
|
|
|
14:19
Апрель 22, 2008
|
|
Pavel Nagaev
|
|
|
Novorossiysk
|
|
|
|
|
Admin
|
|
posts 1617
|
|
|
|
|
Правильным решением является настройка второго SMTP сервера с авторизацией для отправки своих пользователей.
Если релей закрыт, то ваш сервер будет принимать только сообщения для вашего домена, но не для каких других. Вы же пишите, что у Вас релей закрыт, но письма принимаются для других серверов.
Может еще сидеть троян, который просто генерит почтовый спам наружу из вашей сети. У меня по умолчанию в сети Exchange серверы принимают почту только друг от друга по SMTP. Клиенты отправлять по SMTP не могут.
|
|
|
|
|
11:44
Май 5, 2008
|
|
vassago
|
|
|
|
|
|
Member
|
|
posts 13
|
|
|
|
|
Рассказываю итоги.
Спамят с нескольких IP адресов, меняется только последнее значение к примеру 205.169.154.81 далее 82 84 78 итд. Таких подсетей выявил несколько, сначала закрывал целиком, но каждый день появлялись новые, проблему решил таким способом, отправка всегда была 13234собака(наша мх запись) сделал запрет на отправку*собака(наша мх запись) теперь поток спама прекратился, очереди загружеены только офисной почтой… Все остальные способы не помогали, только при отключении анонимного доступа спам прекращался. Троян – явно не был в нашей сети, может с наружи… т.к. я отключал сервер от сети полностью, оставляя его только с контроллером домена и доступом в инет. По логам было так
дата время адрес клиента имя
27.04.2008 0:00:04 205.209.142.14 msg-g09pmirpcam
+TO:
+TO:
+TO:
итд.
один и тот же cs-username разные IP адреса. Сейчас сервер работает стабильно, но сам факт интересен.
Выписка из учебника Exchange server 2003 установка и управление официальное пособие для самоподготовки страница 294
Настроить параметры аутентификации для входящих подключений и исходящих сообщений, В случае необходимости можно включить на сервере режим разрешения анонимной электронной почты. Данный режим следует использовать осторожно, так как разрешение анонимной эл. почты позволяет неавторизованным пользователям посылать сообщения, используя некорректные адреса зарегестрированных пользователей.
Мне кажется, что тут и есть загвоздка, только как это поправить мозг не дойдет никак…
|
Не все то виндовс, что висит..
|
|
|
14:12
Май 5, 2008
|
|
Oleg Krylov
|
|
|
Russia, Samara
|
|
|
|
|
Admin
|
|
posts 337
|
|
|
|
|
Что-то где-то недопонял. А разве нельзя настроить POP3-клиентов на аутентификацию SMTP? И закрыть релей. Я так понимаю что анонимный доступ к SMTP для передачи ему сообщения и анонимный релей, т.е. отправка сообщения через этот сервер – вещи абсолютно разные. Хотя, повторюсь, может где-то что-то недопонял))))
|
MCP, GFI Certified Engineer
|
|
|
14:27
Май 5, 2008
|
|
vassago
|
|
|
|
|
|
Member
|
|
posts 13
|
|
|
|
|
Вот в том то и дело, что настроено все верно как и должно быть, анонимный закрыть нельзя, почта ходить не будет, аутентификацию по сертификату сделать тож нельзя пока что, так что либо всех уводить с поп 3 на rpcowahttp но это потребует опять же настройки большого кол-ва клиентов, пока ограничился запретом таким, очереди нет, но вообще получается не приятно, заметил на 3 день, хорошо сервак нормальный, не забил всё место, логи лимит превышали по 4 гига несколько файлов за день… траффик за прошлый месяц не увеличился кстати :) Аутентификацция итак стоит, но без шифрования и сертификатов. Тут именно проблема, что либо они отправляют почту либо нет, при такой реализации они могут отправлять, как только убираешь анонимный доступ почта ходит только внутри… По инету есть аналогичные случаи, но решений почти нет нигде… Я решил запретом отправки с фиктивного адреса и домена, этого робота я отбил, посмотрим как пойдет дальше, вообще такое явление – редкая штука, потому как страдает именно сервер, его забивают, а он не знает чего с этим делать…. Отправка то не проходила никуда…
|
Не все то виндовс, что висит..
|
|
|
09:08
Июнь 9, 2008
|
|
Oleg Krylov
|
|
|
Russia, Samara
|
|
|
|
|
Admin
|
|
posts 337
|
|
|
|
|
Кстати почему Вы считаете, что закрыв анонимный релей, вы получите проблему с транспортом? Релей – это отправка левыми отправителями почты от имени Вашего сервера. А анонимный доступ к серверу для приема почты, это совсем другая история. Вы должны оставить анонимный доступ на прием, и включить аутентификацию для релея, это для POP3 клиентов. Проверки и фильтры включите для SMTP…
|
MCP, GFI Certified Engineer
|
|
|
09:14
Июнь 9, 2008
|
|
Pavel Nagaev
|
|
|
Novorossiysk
|
|
|
|
|
Admin
|
|
posts 1617
|
|
|
|
|
Я честно говоря тоже не понимаю автора.
|
|
|
|
Записи
