Exchange 2007 verstuurd SPAM

even sniffen op je netwerk

ip van de machine staat in de headers van de uitgaande spam denk ik zo maar, open een spam mailtje en check de headers, als het goed is van je het hele pad terug

[ Voor 5% gewijzigd door Fish op 01-05-2009 23:48 ]

ik ben niet zo bekend met exchange. maar je kan vast wel een paar servers whitelisten denk ik

Verwijderd schreef op zaterdag 02 mei 2009 @ 00:05:
Maar is er een mogelijkheid dit voorgoed tegen te houden.
Ik heb 5 domeinen op de server.
Dat er bijv. alleen vanuit deze domeinen naar buiten gemaild mag worden...

Poort 25 dichtzetten voor uitgaand verkeer. Uitzonderings regel aanmaken voor je exchange server.

SandStar schreef op zaterdag 02 mei 2009 @ 01:27:
[...]
Poort 25 dichtzetten voor uitgaand verkeer. Uitzonderings regel aanmaken voor je exchange server.

Dat help natuurlijk niets tegen een besmette client in je netwerk, die keurig de spammail verstuurd via de Exchange server (zoals TS meld).

Het kunnen relayen staat standaard dicht op Exchange 2007, als TS daar niets aan veranderd hebt staat dat nog steeds dicht. Eventueel zou dit nog getest kunnen worden met een "relay-check" vanaf internet. bijvoorbeeld via http://www.abuse.net/relay.html

Geeft deze test inderdaad aan relaying netjes dicht staat, dan zit het probleem inderdaad bij een besmette pc. Probeer dan inderdaad een header van zo'n mail te achterhalen om om welke pc het gaat.

Wacht overigens niet te lang met het nemen van maatregelen. Als je mailserver teveel spam verstuurd verschijnt deze op een gegeven moment op een blacklist en heb je meer problemen. Desnoods huur je even iemand in om dit op te lossen mocht je de kennis zelf niet in huis hebben.

Question Mark schreef op zaterdag 02 mei 2009 @ 11:40:
[...]
Dat help natuurlijk niets tegen een besmette client in je netwerk, die keurig de spammail verstuurd via de Exchange server (zoals TS meld).

Maar het zou dan wel in je logfiles voorbij moeten komen. Daarom ben ik het wel eens met die maatregel.

DiedX schreef op zaterdag 02 mei 2009 @ 12:01:
[...]

Maar het zou dan wel in je logfiles voorbij moeten komen. Daarom ben ik het wel eens met die maatregel.

Welke logfiles? Een besmette client maakt keurig via MAPI verbinding met de mailserver, die het vervolgens rustig naar buiten stuurt via SMTP. Er verschijnt eventueel alleen wat in logfiles als de werkplekken zelf via SMTP naar buiten proberen te mailen, maar dat gebeurd volgens TS niet.

Dan zal de logging omhoog moeten?

Laat ik het zo stellen: Microsoft maakt geen product wat niet in staat is om logfiles te genereren. cq: die moeten aan of omhoog gesteld worden. IP-Adres bij zijn kladden pakken, opgelost.

I know, maar standaard staat het uitgaande mailverkeer al in de message tracking log. TS geeft echter aan dat hij daar niet uitkomt. (vandaar ook mijn opmerking om evt iemand met kennis in te huren).

Da's overigens geen sneer richting TS, maar zulke zaken moet je nu eenmaal zo spoedig mogelijk oplossen.

Verwijderd schreef op vrijdag 01 mei 2009 @ 23:40:
Ik heb nu het zelfde probleem...
Alleen weet ik niet hoe ik de authenticatie aan kan zetten.

...
Er zijn een aantal PC's via VPN met de server verbonden. Ik vermoed dat een van deze PC's aan het spammen is. Want de server zelf is het niet...
..

Het is me niet duidelijk hoe de spam binnen komt bij je. SMTP of iva outlook zelf?

[google=enable authentication exchange 2007]

http://www.experts-exchan.../Exchange/Q_22139159.html

You need to review the settings on the Receive Connectors under Hub Transport in Server configuration.
You should have two connectors, a default and a client connector.

Toch denk ik dat je het in de logging van exchange terug moet kunnen vinden waar mail vandaan komt.

Question Mark schreef op zaterdag 02 mei 2009 @ 11:40:
Dat help natuurlijk niets tegen een besmette client in je netwerk, die keurig de spammail verstuurd via de Exchange server (zoals TS meld).

Zie de TS:

Er zijn een aantal PC's via VPN met de server verbonden. Ik vermoed dat een van deze PC's aan het spammen is. Want de server zelf is het niet...

Waarschijnlijk is het dus wel een client met een virus/worm/botnet in het netwerk die een connectie maakt op tcp 25 naar buiten toe. Het is trouwens aan te raden om op je netwerkfirewall uitgaand verkeer op tcp 25 te blokkeren en je exchange bak toe te voegen als uitzondering. Hoevaak ik bij verschillende klanten al niet gezien heb dat ze op een blacklist terecht zijn gekomen... (ook al heb je dan al je werkstations goed afgeschermt, zal je altijd zien dat een aanwezige consultant met zijn laptop ongemerkt de spam aan het versturen is )

En daarvoor moet je dus je verbose logging aanzetten in je Exchange Management shell - of zoals gezegd dat laten doen.

Qwerty-273 schreef op zaterdag 02 mei 2009 @ 13:34:
[...]

Zie de TS:

Ik lees onderstaand in de topicstart:

Verwijderd schreef op vrijdag 01 mei 2009 @ 23:40:
Vandaag merkten we op dat er iets spam aan het versturen was via onze exchange

Ik heb nu het zelfde probleem...

Beetje onduidelijk wie of wat er nu aan het spammen is.

Verwijderd schreef op zaterdag 02 mei 2009 @ 17:08:
leuk_he, het is niet dat er SPAM binnen komt, maar deze wordt verstuurd.
Hoe ik inkomende SPAM moet tegenhouden is mij bekend.

Is me duidelijk. Jullie exchange server wordt gebruikt om spam te relayem. Je gaat er van uit dat de spam binnenkomt uit je eigen netwerk, maar zelfs als dat het geval is weet je niet eens via welke connector hij aankomt op je exchange server. (smtp kan ook in-house aan staan he?, maar kan ook via exchange protocol gaan)

Verwijderd schreef op zaterdag 02 mei 2009 @ 18:50:
Ik zou dit probleem graag zelf willen oplossen.
Het gaat hier ook om een server die niet zo belangrijk is dat ik experts kan inhuren.
Als ik de verbose loging aanzet, dan zou ik meer te weten moeten kunnen komen?

Ik gok dat de mail opeens wél een stuk belangrijker is als het zaakje niet werkt. En dat er dan wellicht wel geld is om een "expert" in te huren.

Maar als je het zelf wilt doen:
Zet nu voor je zelf even op een rijtje wat de symptonen zijn. Komt de spam echt van clients en gaat deze echt via je exchange server of zijn er gewoon clients die zelf spam versturen?

Wat ik in zo'n geval doe is dus zoals ik al zei, poort 25 dichtgooien voor alles behalve je server zodat je uitsluit dat er spam om je exchange server heen kan. Daarna inderdaad logging aan zetten maar ik neem ook aan dat je wel even kan kijken welke client er in de afgelopen tijd veel mail heeft verstuurd. (message tracking)

Als je daar zelf dan nog niet uitkomt lijkt het mij toch verstandig er professionele hulp bij te roepen. Dat hoeft helemaal niet zo duur te zijn. Er zijn altijd bedrijven in de buurt die zich speciaal richten op het MKB en ook schappelijke prijzen hanteren.

Ik vraag me op dit moment serieus af of TS slachtoffer is van zijn netwerk of van een joe-job.

TS, zou je eens de full-headers van een spammail kunnen sturen?