[Exch2003] Voorkomen van NDR Spam

Op mijn werk hebben zeer veel last van NDR spamming / spoofing. We gebruiken Exchange 2003 SP2 op een Windows 2003 R2 SP2 server. Op deze server hebben we GroupShield 6 draaien en McAfee Enterprise VirusScan 8, het “Spam”-filter van Exchange zelf is ook ingeschakeld.

Onze SMTP porten zijn via een ISA2006 server gepublished en heeft SMTP filtering aanstaan.

Ik heb op onze SMTP Servers de Sender filters, Recipient filters, Connection filters aanstaan en de SenderID en IMF. De tar pit feature in de Windows SMTP services (via regedit) heb ook ingeschakeld.

Deze dingen hebben de afgelopen weken het wel een beetje terug gebracht maar niet zo goed als verholpen.

De makkelijkste optie is om NDR’s te disablen maar dat mag niet van onze directeur.

Een andere optie is om mail rules te maken via Outlook, maar dit moeten we dan doen bij 300 tot 350 gebruikers, wij zoek een oplossing die we op server niveau kunnen uitvoeren. http://forums.msexchange.org/m_1800471565/tm.htm

Een goede oplossing lijkt om GFi MailEssentials deze heeft een optie om NDR email te checken, deze hebben we daarom op onze begroting van 2009 gezet.
http://kbase.gfi.com/showarticle.asp?id=KBID003322

Ik heb de volgende Microsoft KB gebruikt om de configuratie van onze server te checken / herconfigureren om deze NDR Spam te voorkomen.

Exchange queues fill with many non-delivery reports from the postmaster account in Small Business Server 2003
A software update is available to help prevent the enumeration of Exchange Server 2003 e-mail addresses
In Exchange Server 2003 or in Exchange 2000 Server, the Exchange Server queues are filled with many non-delivery reports from the postmaster account because of a reverse non-delivery report attack

De volgende topic op GoT heb ik doorgenomen die ook over dit probleem gaan:
[Exch2003] Open Relay? nee toch......
[Win2003] Hoe voorkom ik reverse NDR spam aanvallen?

MADG0BLIN schreef op donderdag 05 juni 2008 @ 12:13:
Dit is laatst ook al een keer in BV voorbijgekomen. Misschien dat je daar nog wat uit kunt halen:

\[Exch2K7} Zeer veel NDR's vanwege spoofing na upgrade 2003

e-mail ineens 'bedolven' onder spam e.d.

Bedankt, ik heb ze even door genomen, en de verwijzing over de open-relay even gecheckt, gelukkig is onze server hier tegen beschermd volgens http://www.abuse.net/relay.html

Weet iemand in hoeverre een SPF-record kan helpen, onze huidige hosting provider (Network Solutions) ondersteund dit niet, als dit de NDR Spam kan verminderen dan ga ik bespreken of we naar een andere kunnen.

Brahiewahiewa, ok als de kosten laag zijn (onder €100) dan ga ik het zeker overleggen.

We hebben hier veel mensen die elke dag alle smaken Spam krijgen en omstebeurt krijgt iemand van het management een bende NDR-Spam wat je niet wil weten.

Ik denk zelf dat Greylisting niet veel zal helpen en bovendien Sales en Marketing technisch gezien. Ze zeggen hier zelfs als een e-mail van extern niet binnen 5 minuten binnen is dat de server ‘stuk is’.

Wikipedia: Greylisting

[ Voor 1% gewijzigd door Giga_Bjorn op 05-06-2008 17:13 . Reden: typo's ]

guidovb999 schreef op donderdag 05 juni 2008 @ 18:35:
[...]
Aan jouw de taak omdat uit hun hoofden te helpen . Greylisting is uit mijn ervaring zeer effectief tegen spam.

Voor de meeste Spam wil ik dit wel geloven, maar help het ook bij het NDR Spam probleem wat wij hebben.

pennenlikker schreef op vrijdag 06 juni 2008 @ 11:32:
Giga_Bjorn, hoeveel domeinen moeten er gefilterd worden? en met hoeveel data verkeer jaarlijks (schatting)?

Nu hebben we 5 Domain's, volgens mij hebben 5GB+ aan inbound mail verkeer extern.