[Server 2000 - Exchange 2000] Monitor poort 25 - Serversoftware en clouddiensten

dinsdag 9 september 2008 14:44

Acties:

Topicstarter

Hallo,

Windows 2000 server met Exchange.
In de outgoing smtp queue staan een hele pleur connecties naar diverse domeinen.
De sender van al die ouotgoing mail is allemaal *****@Yahoo.com.
Ik heb via telnet gekeken en de server is geen open relay.

er staat dus een pc op het domein spam te versturen via de exchange server.

Is er een tooltje waarmee ik kan zien welke PC's (welke ip's) er data aanbieden op poort 25 aan mijn server ?
Op die manier is het denk ik vrij makkelijk om de geinfecteerde pc er uit te pikken.

Bij voorbaat dank voor suggesties !

Groet,

Subi

dinsdag 9 september 2008 14:46

Acties:

gambieter

Just me & my cat

Heb je SMTP logging aanstaan? Kijk dus eens in je Event logfiles. Kijk ook eens in de header van de spammails, om te zien of je daar wat uit kunt halen. En gebruik een firewall met logging mogelijkheden.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

dinsdag 9 september 2008 16:28

Acties:

Verwijderd

in de header van zo'n mailtje staat de versturende "server". Moet het veel via smtp verstuurd zijn overigens en niet via mapi/imap. En als het via smtp verstuurd wordt even "authenticated relay" uitzetten (dat vinkje betekent dat al je machines in je domain mogen relayen).

woensdag 10 september 2008 07:16

Acties:

Yalopa

Less is more!

Subigo schreef op dinsdag 09 september 2008 @ 14:44:
Is er een tooltje waarmee ik kan zien welke PC's (welke ip's) er data aanbieden op poort 25 aan mijn server ?

netstat kan dat, maar begin maar met de tips boven mij, die zijn vast handiger. Je kan op win 2000 (en hoger) reeds zeer basic gaan filteren op binnenkomende poort en IP in de advanced opties van TCP/IP.

You don't need eyes to see, you need vision

woensdag 10 september 2008 09:28

Acties:

Workaholic

Een aantal tips:

- Best practice is om interne mailservers op het netwerk te blokkeren met uitzondering van je eigen mailserver(s). Liefst zowel software (firewall/antivirus op client) als hardware matig via je firewall.

Port 25 blocken naar de buitenwereld dus en alleen mail naar buiten via je mailserver of exceptions list.

- Zorg ervoor dat je eigen mailservers dicht staan en de juiste relay en security instellingen juist staan. Controleer dat je exchange server alleen relaying of e-mail toestaat via je eigen domein namen (en niet via yahoo.com etc).

- Gebruik een extra security pakket als extra "muur" tussen je exchangeserver en de buitenwereld. Bijvoorbeeld, Mcafee Webshield (webshield ontvangt mails op 25 en stuurt deze door naar een andere poort waar exchange deze weer oppakt, zelfde idee met versturen)

- Gebruik online tools om je server te checken op openrelay en overige security risks.

- Om te voorkomen dat mailberichten bij sommige bedrijven en of instanties niet doorkomen vanwege spamfilters (greylisting, reverse dns etc etc), check je mailserver op de blacklist en zorg voor een juiste reverse dns + spf configuratie.

- Gebruik extended logging features in exchange en of de smtp protocol voor het volgen van je berichten en de afhandeling hiervan.

- Schakel desnoods tijdelijk eventuele mailbezorging uit of blokeer deze met een firewall om te kijken of er meer logs aangemaakt worden..of mails terug komen etc etc.

- Indien nodig kun je nog netwerk sniffers als wireshark gebruiken om na te gaan waar de spam vandaan komt in je netwerk..

[ Voor 14% gewijzigd door Workaholic op 10-09-2008 09:33 ]

Mijn V&A