Hulp bij blokkeren spam versturen - Netwerken

woensdag 21 januari 2009 09:10

Acties:

Topicstarter

Helaas is ons IP adres (publiek) de afgelopen dagen menigmaal geblokkeerd bij de grote spam databases wat inhoud dat we naar veel adressen niet meer kunnen mailen of gemaild kunnen worden.
Hoogstwaarschijnlijk is er iets, of van buiten, of van binnen, die van ons adres gebruik maakt om spam te versturen, nu kunnen we wel een request aanvragen om de blokkade ongedaan te maken maar dan moet het lek wel eerst gedicht worden.
Het rare is dat er de laaste tijd eigenlijk niets bijzonders in ons netwerk is gewijzigd.
We maken gebruik van een Win2K domein en een Exchange 2000 omgeving met een Astaro Firewall (5.0).

Na wat aanpassingen is de situatie nu zo:
Vanuit het interne netwerk kan niemand naar buiten over poort 25 behalve als je authenticated bent, een telnet ergens naar toe over poort 25 werkt niet.
Vanuit extern kun je met telnet wel over poort 25 binnenkomen en via telnet een mail binnen ons netwerk sturen maar zodra je naar buiten wilt krijg je de melding relaying denied.

Volgens mij is het met deze maatregel aardig dicht gespijkerd, maar is het voldoende om te zorgen dat we niet weer op de spam lijst komen te staan of moet er nog meer gedaan, gecheckt worden?

Who's general failure, and why is he reading my disk?

woensdag 21 januari 2009 12:01

Acties:

riddles

Er zijn genoeg sites om dit even goed te testen, bijvoorbeeld: http://www.spamhelp.org/shopenrelay/
Microsoft KB helpt ook wel wat: SMTP relay behavior in Windows 2000, Windows XP, and Exchange Server

woensdag 21 januari 2009 12:04

Acties:

brtk

ik heb hier een vergelijkbare situatie, ook met een Astaro Appliance (6.x).

Heb het opgelost door SMTP vanaf de buitenkant op poort 2525 te laten draaien. Authenticated SMTP gebruik je denk ik al ?

woensdag 21 januari 2009 13:07

Acties:

eX0duS

Ik heb de firewall gewoon zo ingesteld dat geen enkele PC, behalve de server, poort 25 mag gebruiken om mail te versturen (via Exchange dus), alle problemen zijn sindsdien opgelost.

[ Voor 5% gewijzigd door eX0duS op 21-01-2009 13:07 ]

woensdag 21 januari 2009 21:11

Acties:

ChaserBoZ_

Enige risico wat je dan nog loopt is dat een van je authenticated clients aan de binnenkant gaan spammen

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 21 januari 2009 21:16

Acties:

Verwijderd

ChaserBoZ_ schreef op woensdag 21 januari 2009 @ 21:11:
Enige risico wat je dan nog loopt is dat een van je authenticated clients aan de binnenkant gaan spammen

Malware zal dat over poort 25 naar buiten proberen..en dat gaat niet. (mag alleen de Exchange server).

woensdag 21 januari 2009 21:26

Acties:

servies

Veni Vidi Servici

Verwijderd schreef op woensdag 21 januari 2009 @ 21:16:
[...]

Malware zal dat over poort 25 naar buiten proberen..en dat gaat niet. (mag alleen de Exchange server).

Al die client PC's kunnen mailen met als 'relay' de Exchange server. en aangezien er al malware is die gebruik maakt van de opgegeven relays... kan er nog steeds mail naar buiten... maar het lijkt me dat je dat dan toch in de serverlogs moet kunnen terugvinden...

woensdag 21 januari 2009 21:32

Acties:

lier

MikroTik nerd

Verder is het ook wel een idee om een smarthost in te stellen. Dan heb je alleen met je provider te maken en geen last meer van de blacklists.

En (uiteraard) alleen je Exchange server mag naar buiten over poort 25, de rest van je interne netwerk heeft hier niets te zoeken !

Eerst het probleem, dan de oplossing

donderdag 22 januari 2009 10:30

Acties:

Verwijderd

servies schreef op woensdag 21 januari 2009 @ 21:26:
[...]

Al die client PC's kunnen mailen met als 'relay' de Exchange server.

Als dat kan heb je een beheerder die met opzet de boel onveilig maakt.. Kortom, hoogst onwaarschijnlijk, moet je echt aanzetten.
Alhoewel ik (grote bekende) bedrijven ken waar de gateway gewoon open relay is van binnen uit..

[ Voor 13% gewijzigd door Verwijderd op 22-01-2009 10:31 ]

donderdag 22 januari 2009 12:25

Acties:

Ora et Labora

Topicstarter

Allen hartelijk dank voor de reacties.

Poort 25 voor intern, behalve de mailserver staat nu helemaal dicht.
In de mailserver bij eigenschappen van de SMTP virtual server, relay restriction staat alles uit, only the list below en daar staat niets in, wel staat het vinkje aan bij Allow all computers which succesfully authenticate to relay regardless of the list below.

Vanaf intern kan ik alleen via SMPT mailen als ik een gebruikersnaam en wachtwoord opgeef.
Vanaf buiten met telnet kan er nog wel binnengekomen worden op onze mailserver, als ik een mail binnen ons bedrijf stuur, mail from:ik@onsbedrijf.nl en rcpt to:jij@onsbedrijf.nl mag dit wel, maar zodra je rcpt to:jij@jouwbedrijf.nl doet krijg je de melding relaying denied.

We zijn nu ook bijna van alle lijsten verdwenen gelukkig, alleen dyna.spamrats.com staan we nog in, het lijkt al met al een stuk beter te gaan waarvoor hartelijk dank!

Who's general failure, and why is he reading my disk?

donderdag 22 januari 2009 14:17

Acties:

vliegjong

Bump!

Ik ken Astaro niet, anders dat een collega er nu werkt, maar ik zou een explicite drop maken voor port 25 verkeer met logging. Weet je ook gelijk welke client je connectie misbruikt

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)