Exchange Open Relay

Op mijn werkplek hebben we een Exchange 2003 server met een Xs4all verbinding. Nou is het probleem dat Xs4all ons geblokkeerd heeft omdat onze Exchange server spam verstuurt. De spam wordt verstuurd door random IP adressen welke relayen op onze server. Als ik een test doe op www.mxtoolbox.com komt eruit dat onze server niet open relay ondersteund, maar als ik de test op www.test-smtp.com dan komt bij test 18 wel naar voren dat onze server open relay ondersteund. Beetje raar dus.

Nou heb ik al het volgende gedaan om dit tegen te gaan, maar blijkbaar mis ik iets want het spammen blijft gewoon doorgaan:

- Alle Windows Updates geinstalleerd (inclusief Service Pack 2 voor Exchange 2003)
- Relayen uitgeschakeld voor alle IP adressen, op uitzondering na van de server.
- Poort 25 geblokkeerd voor alle werkstations op de server na.
- Alle wachtwoorden veranderd op de servers en werkstations.
- Alle werkstations en servers gescand met NOD32, Malware Bytes en Security Essentials. Hier waren geen infecties te vinden.

Nou kan ik wel poort 25 blokkeren, maar dan krijgen we zelf geen e-mail meer binnen, want de e-mail wordt rechtstreeks op onze server afgeleverd.

Mis ik toch nog ergens iets waardoor open relay mogelijk is van buitenaf? Ik heb met een packet sniffer al het netwerk verkeer op de server gescand, en kan terug zien dat random externe IP adressen inloggen op poort 25 en dan spam e-mails versturen.

Ik hoop dat iemand me nog suggesties kan geven, waardoor open relay niet meer mogelijk is door externe computers.

Jaap-Jan schreef op vrijdag 01 juli 2011 @ 13:47:
Makkelijkste oplossing: stuur alleen mail door van geauthenticeerde gebruikers en accepteer alleen email bestemd voor dat domein. Al het overige drop je.

Ik heb nu ingesteld staan dat alleen de server e-mail naar buiten mag sturen, en alleen verified users mogen gebruik maken van de SMTP server in het domein. En het leukste is dat ze onze domeinnaam gebruiken voor de spam, dus andere domeinnamen blokkeren zal niets uithalen.

Jaap-Jan schreef op vrijdag 01 juli 2011 @ 14:02:
[...]
Hoe kunnen ze dan mail door de mailserver krijgen? Ze zijn toch niet geauthenticeerd?

Hoe moet ik dit emailadres lezen?

>>> RSET
<<< 250 2.0.0 Ok
>>> MAIL FROM: <test@[123.456.789.1]>
<<< 250 2.1.0 Ok
>>> RCPT TO: <"test%spam.com">
<<< 554 5.7.1 <test%spam.com>: Relay access denied

Lijkt mij dat dit test%spam.com@localhost is, toch?

Ja dat lijkt mij ook inderdaad, dus daarom hoopte ik dat ik misschien iets over het hoofd heb gezien qua relayen toestaan.
Het versturen van de test spam via www.test-smtp.com gaat goed wanneer er "randomiets"@domeinnaam.nl wordt gebruikt. Dus het heeft iets te maken met die " " volgens mij.

Als Firewall wordt een Untangle Web Filter gebruikt.
En ik kan inderdaad in de Message Tracking Center zien dat er e-mail verstuurd wordt.

Screenshots kan ik op dit moment even niet posten, ben op dit moment onderweg. Ben het topic aan het volgen op m'n telefoon Moet wel lukken achter een uurtje of 2..

Hmmm ik geen screenshot maken.. Xs4all heeft ons nu echt dichtgegooid op poort 25

Wordt dus bellen met Xs4all ben ik bang voor

jjbstolk schreef op vrijdag 01 juli 2011 @ 16:59:
[...]


Dat er wordt afgesloten is een duidelijk prima actie maar dat je dan vervolgens de afdeling die dat gedaan heeft alleen via de mail kan benaderen en niet kan bellen is gewoon waardeloos.

Soms moet je wel 24 u wachten op een mail reactie van xs4all en dan nog is het soms weer een vraag ipv een oplossing of antwoord.

Ik ben het er inderdaad mee eens dat ze mensen blokkeren, maar zoals jjbstolk al zei moeten ze wel telefonisch bereikbaar zijn. Ik zal nu dus waarschijnlijk tot maandagmiddag / dinsdag moeten wachten voordat ik uberhaupt weer iets kan.

Maar iemand enig idee hoe ik het verder kan aanpakken? Dit zijn trouwens mijn instelling op de SMTP server:



Mis ik nog iets?

[ Voor 6% gewijzigd door l00pz op 01-07-2011 17:32 ]

jjbstolk schreef op vrijdag 01 juli 2011 @ 17:48:
Vergelijk jou instellingen eens met deze handleiding. Dan ben je er denk ik wel:
http://www.petri.co.il/pr...00_2003_from_relaying.htm

Vergeet ook niet om poort 25 uitgaande voor iedereen af te sluiten behalve voor de server!

Deze guide heb ik inderdaad gevolgd, en alle instelling zo ingesteld zoals ze op die website vermeldt worden. Maar ik moet Anonymous Acces wel aanzetten, anders is mijn provider niet in staat om de e-mail af te leveren op de Server (dit staat uitgelegd in Conclusion).

Maar wat ik niet helemaal snap, als je zoals mijn situatie wel Anonymous Acces moet aanzetten om de e-mail afgeleverd te krijgen. Heeft dan niet iedere Exchange server last van dit probleem als ze je IP adres en domeinnaam achterhaald hebben?

Wat betreft de 2 IP adressen, deze staan er standaard in. En aangezien 127.0.0.1 de local loopback is lijkt het me sterk dat deze verwijderd moet worden uit de lijst.

Ik zal inderdaad dan eens gaan kijken naar Spamexpert. Dat is wat makkelijker te filteren

Maar toch blijf ik met een vraag zitten, heeft iedere Exchange server hier dan last van als de e-mail rechtstreeks wordt afgeleverd op je server?

Is dit btw de goede link naar Spamexperts?

[ Voor 14% gewijzigd door l00pz op 02-07-2011 19:24 ]

Jazzy schreef op zaterdag 02 juli 2011 @ 22:47:
Nee, dat is niet normaal. Maar wat ik al vroeg, kun je een screenshot geven van de test die slaagt (terwijl hij hoort te mislukken)? En als je met Protocol logging kijkt, hoe ziet het ontvangen van zo'n spambericht er precies uit? Ik zou toch wel graag precies willen weten wat er gebeurt.

Ik zou je graag een screenshot willen geven, maar ik moet eerst op Xs4all wachten totdat ze poort 25 weer op zetten. Op dit moment kan ik geen test uitvoeren.

Jazzy schreef op zaterdag 02 juli 2011 @ 22:47:
Nee, dat is niet normaal. Maar wat ik al vroeg, kun je een screenshot geven van de test die slaagt (terwijl hij hoort te mislukken)? En als je met Protocol logging kijkt, hoe ziet het ontvangen van zo'n spambericht er precies uit? Ik zou toch wel graag precies willen weten wat er gebeurt.

Blijkbaar had ik de server iets te zeer afgeschermd Ondertussen kan ik weer e-mailen, en open relay heb ik nu ook uitgeschakeld als ik www.test-smtp.com mag geloven.

Het enigste wat ik nu heb aangepast is bij Exchange System Manger > Global Settings > Message Delivery > Recipient Filtering een vinkje gezet bij "Filter recipients who are not in the Directory".

Nu even afwachten als het spammen afgelopen is

Jazzy schreef op maandag 04 juli 2011 @ 15:00:
[...]
Dat bedoelde ik dus met mijn vraag in Jazzy in "Exchange Open Relay" Maar succes verder, hoop dat je uit de problemen bent nu.

Sorry dat had ik niet helemaal begrepen. Maar alsnog dankjewel

Xs4all heeft gelukkig ook de blokkade opgeheven, dus ik hoop dat alles weer rustig is nu.