[exchange 2000] Open relay probleem*

woensdag 4 februari 2004 21:26

Ik mag aannemen dat je dit getest hebt vanaf een systeem buiten je eigen netwerk? Want vanuit binnen je eigen netwerk is dit natuurlijk geheel correct...

Acties:

Verwijderd

Als je spoed hebt bel je de helpdesk van Microsoft maar, we proberen je hier zo goed mogelijk te helpen

Maar het zou wel even helpen als je ongeveer 3 maal zoveel informatie geeft. Wát is er precies mis, wát heb je gedaan om dit op te lossen en wáár liggen de onduidelijkheden?

woensdag 4 februari 2004 21:43

Acties:

woensdag 4 februari 2004 21:50

Topicstarter

Ik waardeer natuurlijk jullie help. En vandaar de spoed tussen haakjes ;-)

Het probleem is dat wij sinds dinsdag verschikkelijk veel verkeer genereren. Uit de logs lijkt het erop dat er flink wordt gerelayed over ons, en dit blijkt ook uit de spamcop reports. Echter als ik diverse relay tests uitvoer dan zit hij toch echt dicht. Vanaf buiten gezien uiteraard. Echter met een paar tests zoals deze lijkt het erop dat als de sender de FQDN van onze mail host gebruikt als mail from, dan laccepteerd de hij de mail. Beneden is een mail die wij bevoorbeeld 10x per minuut binnen krijgen :

Received: from taking ([203.131.163.202]) by mail.infotheekgroep.nl with Microsoft SMTPSVC(5.0.2195.6713);
Wed, 4 Feb 2004 17:30:27 +0100
From: "Dilawia"<72303.136272303.1362@MSN.COM>
To: 72303.1362@iqemail.com
Subject: 72303.1362: H__G__H Myth(S)
Mime-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Return-Path: 72303.136272303.1362@MSN.COM
Message-ID: <RESMAILxw8Zw5V6Qcqn000000bc@mail.infotheekgroep.nl>
X-OriginalArrivalTime: 04 Feb 2004 16:30:29.0906 (UTC) FILETIME=[33F97F20:01C3EB3C]
Date: 4 Feb 2004 17:30:29 +0100

<html><body bgcolor=#FFFFFF text=#000000> 72303.1362: Supreme Formu1a H G H------------Take 20 Years off Y0ur Age Lo0K AT THESE AMAZING TEST RESUlTS! 
£®£®£®Body Fat L0ss ________ 82% 1mprovement 
£®£®¡£Wrink1e Reducti0n _________ 61% lmprovement 
£®¡£¡£Energy Level __________ 84% 1mpr0vement 
£®¡££®Musc1e Strength ___________ 88% improvement 
¡£¡£¡£Sexua1 Potency ____________ 75% lmpr0vement 
¡£¡££®Emoti0na1 Stability -------- 67% 1mprovement 
¡££®£®Mem0ry --------- 62% improvement
72303.1362: 
<a href=http://72303.1362.xde4cds.com/dr/>P1ease Vls1t 0ur Web Site: Click Here</a>bombed.72303explaining.72303activity.72303playfully.72303crawls.72303microscopic.72303exhumation.72303benton.72303boycott.72303
72303.136272303.136272303.136272303.136272303.136272303.136272303.136272303.136272303.1362
</body></html>

Acties:

Verwijderd

je zegt dat je verkeer genereert en dan dat je een mail binnen krijgt. Voor zover ik kan beoordelen (en ik ben geen mail expert..) kan het net zo goed verkeer van buiten af zijn waar je last van hebt.

Je hebt het over een open relay; bij mijn weten heeft dat alleen betrekking op het ongevraagd verzenden van mail, niet ontvangen. Gevalletje Spam ?

Just my 2 cents; schiet mijn verhaal maar lek, dan kan ik er ook nog iets van opsteken.

woensdag 4 februari 2004 21:51

Acties:

woensdag 4 februari 2004 21:53

Even toch met je checken...

Start "Exchange System Manager" en ga naar:
-> Servers
--> <ServerName>
---> Protocols
----> SMTP

Open nu de eigenschappen van "Default SMTP Virtual Server" en ga naar het tabblad access en check of "only the list below" is geselecteerd en dat "allow all computers with succesfull auth." aangevinkt is.

Opzich zou het namelijk niet meer dan dat moeten zijn..

Acties:

woensdag 4 februari 2004 21:54

Topicstarter

Ik ontvang een mail in de queue, niet in mijn mailboxen. Misschien een misvatting.

Acties:

woensdag 4 februari 2004 21:57

Topicstarter

Zoetjuh schreef op 04 februari 2004 @ 21:51:
Even toch met je checken...

Start "Exchange System Manager" en ga naar:
-> Servers
--> <ServerName>
---> Protocols
----> SMTP

Open nu de eigenschappen van "Default SMTP Virtual Server" en ga naar het tabblad access en check of "only the list below" is geselecteerd en dat "allow all computers with succesfull auth." aangevinkt is.

Opzich zou het namelijk niet meer dan dat moeten zijn..

Dit staat inderdaad zo als jij het aangeeft. Maar we hebben waarschijnlijk de oplossing gevonden. Zie mijn volgende post.

Acties:

woensdag 4 februari 2004 21:58

Topicstarter

Wij hebben van meerdere tuturials nog het volgende gevonden om aan te passen.

In de Default SMTP server hebben we het volgende ingesteld.
- Authentication / Basic authentication uitgezet.
- Relay / Allow all computers that succesfully authenticate.... uitgezet.

En het Guest Account is gedisabled.

Wij hebben vanaf 21:46 geen relays meer ontvangen die geaccepteerd worden.

Acties:

Verwijderd

BasXcore schreef op 04 februari 2004 @ 21:53:
Ik ontvang een mail in de queue, niet in mijn mailboxen. Misschien een misvatting.

Owkay; mijn aanname klopt dus niet. Wellicht een stomme vraag, maar waarom isoleer je die machine niet, los het probleem op en dan weer online ?? Met dergelijke problemen kunnen allerlij randverschijnselen zich voordoen die het erger maken.

Just my 4 cents ;-))

woensdag 4 februari 2004 22:06

Acties:

woensdag 4 februari 2004 22:11

BasXcore schreef op 04 februari 2004 @ 21:57:
Wij hebben van meerdere tuturials nog het volgende gevonden om aan te passen.

In de Default SMTP server hebben we het volgende ingesteld.
- Authentication / Basic authentication uitgezet.
- Relay / Allow all computers that succesfully authenticate.... uitgezet.

En het Guest Account is gedisabled.

Wij hebben vanaf 21:46 geen relays meer ontvangen die geaccepteerd worden.

Hmmm, je guest account stond aan, zonder password misschien? Dat zou nooit echt verstandig zijn. if so, dan was het uitschakelen van het guest account toch opzich genoeg?

Zoetjuh

--
Update

Ben net ff de RFC aan het lezen geweest; vooral rond het AUTH commando. Dit is schijnbaar de wijze waarop een client zich aanmeld bij de SMTP server waardoor het verzend rechten krijgt.. Weer iets geleerd..

Waarschijnlijk zullen je relayers hiervan gebruik hebben gemaakt en op de gok het account "Guest" zonder password hebben gebruikt.. Anthans, that's my guess...

[ Voor 23% gewijzigd door Zoetjuh op 04-02-2004 22:08 ]

Acties:

woensdag 4 februari 2004 22:13

Topicstarter

Verwijderd schreef op 04 februari 2004 @ 21:58:
[...]

Owkay; mijn aanname klopt dus niet. Wellicht een stomme vraag, maar waarom isoleer je die machine niet, los het probleem op en dan weer online ?? Met dergelijke problemen kunnen allerlij randverschijnselen zich voordoen die het erger maken.

Just my 4 cents ;-))

De firewall ervoor hebben we open en dicht gezet voor tests, maar we kwamen er te laat achter. De server heeft ongeveer 24uur lopen versturen... Beetje jammer. 350 meldingen bij spamcop. Maar ik geloof dat ze je pas op een blacklist zetten als je meer dan 48u rotzooi verstuurt...

Acties:

woensdag 4 februari 2004 22:18

Topicstarter

Zoetjuh schreef op 04 februari 2004 @ 22:06:
[...]

Update

Ben net ff de RFC aan het lezen geweest; vooral rond het AUTH commando. Dit is schijnbaar de wijze waarop een client zich aanmeld bij de SMTP server waardoor het verzend rechten krijgt.. Weer iets geleerd..

Waarschijnlijk zullen je relayers hiervan gebruik hebben gemaakt en op de gok het account "Guest" zonder password hebben gebruikt.. Anthans, that's my guess...

hmmm. Interessant, dit ga ik morgen ochtend wel op een test server testen. Ben wel benieuw of dat zo gaat...

Me Auditting stond niet aan, maar zou ik deze sessie's nog ergens kunnen terug vinden. Buiten de %SYSTEMROOT%/system32/logfiles/smtp ?

Acties:

woensdag 4 februari 2004 22:23

BasXcore schreef op 04 februari 2004 @ 22:13:
[...]
Me Auditting stond niet aan, maar zou ik deze sessie's nog ergens kunnen terug vinden. Buiten de %SYSTEMROOT%/system32/logfiles/smtp ?

Voor zover ik weet niet.. (Zou er ook goed naast kunnen zitten hoor)

Acties:

mutsje

Certified Prutser

default staat relay uberhaupt dicht op een Exchange2000 server dus een beheerders foutje?

woensdag 4 februari 2004 22:33

Acties:

woensdag 4 februari 2004 22:34

mutsje schreef op 04 februari 2004 @ 22:23:
default staat relay uberhaupt dicht op een Exchange2000 server dus een beheerders foutje?

Yeps... maar het probleem was hier waarschijnlijk dat er gebruik is gemaakt van het EHLO command (dus niet HELO), gevolgd door een AUTH commando (aanmelding bij de Exchange Server) waarbij op de gok de username/password combo "Guest"/"" is gekozen.

Dit AUTH systeem is waarschijnlijk (gezien de RFC en de uitleg van MS) de wijze waarop een client/user zich aanmeld bij Exchange om over te kunnen gaan tot relay. Toch heb ik het idee dat sowieso alles op het lokale subnet door Exchange toch wel geaccepteerd wordt (in de standaard config van Exchange); maar dit weet ik niet zeker

At least, that it my intepretation

PS. Iemand een idee hoe ik mijn Exchange probleempje (andere [E2K3] thread) zou kunnen oplossen. I know, beetje vage plaats om dat aan te geven; maar ik baal behoorlijk van het probleem en heb online noch een fix noch een oplossing/workaround kunnen vinden...

[ Voor 16% gewijzigd door Zoetjuh op 04-02-2004 22:35 . Reden: Eigen belang, sorry >:) ]

Acties:

woensdag 4 februari 2004 22:41

Topicstarter

mutsje schreef op 04 februari 2004 @ 22:23:
default staat relay uberhaupt dicht op een Exchange2000 server dus een beheerders foutje?

Ik erken dat een beheerder ook menselijk is en fouten kan makem. Maar je kan van me aannemen dat wij alle instellingen m.b.t. relaying e.d. 10x gecontroleerd hebben.

De mogelijkheid van het guest account hebben wij dan ook niet van 1 van de befaamde exchange website's af. We hebben dit gevonden in de google newsgroup search...

Acties:

k-oz

do not feed the trolls

Was het guest account voorheen ook al dicht? uit je opmerking leid ik dat namelijk zo af. Waarom zet je niet ook je loal subnet in de relay opties, naast het successfull authentication...

overigens, een telnet naar poort 25 van dat adres 203.131.163.202:

220 192.168.0.1 SMTP AnalogX Proxy 4.14 (Release) ready

hummmmmmmmmmm........

[ Voor 30% gewijzigd door k-oz op 04-02-2004 22:45 ]

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

woensdag 4 februari 2004 22:48

Acties:

woensdag 4 februari 2004 22:49

k-oz schreef op 04 februari 2004 @ 22:41:
overigens, een telnet naar poort 25 van dat adres 203.131.163.202:
220 192.168.0.1 SMTP AnalogX Proxy 4.14 (Release) ready
hummmmmmmmmmm........

Received: from taking ([203.131.163.202]) by mail.infotheekgroep.nl with Microsoft SMTPSVC(5.0.2195.6713);

Als ik me niet vergis is dit dan toch een server welke zijn mail bij de Toppic Creator afleverde? Die mail.infotheekgroep.nl lijkt me af zwaar aan het spammen ofzo

Of een systeem erachter is misschien wel door een virus geïnfecteerd?

Acties:

k-oz

do not feed the trolls

my thoughts exactly...

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

woensdag 4 februari 2004 23:01

Acties:

woensdag 4 februari 2004 23:02

Topicstarter

k-oz schreef op 04 februari 2004 @ 22:41:
Was het guest account voorheen ook al dicht? uit je opmerking leid ik dat namelijk zo af. Waarom zet je niet ook je loal subnet in de relay opties, naast het successfull authentication...

overigens, een telnet naar poort 25 van dat adres 203.131.163.202:

220 192.168.0.1 SMTP AnalogX Proxy 4.14 (Release) ready

hummmmmmmmmmm........

203.131.163.202 dat ben ik niet he ...

Nee Guest account heeft nooit dicht gestaan. En relay staat aan voor een paar interne servers, meer niet. Voor de rest gaat allesvia exchange, dus Intergrated Authentication.

Acties:

woensdag 4 februari 2004 23:05

Topicstarter

Zoetjuh schreef op 04 februari 2004 @ 22:48:
[...]

Received: from taking ([203.131.163.202]) by mail.infotheekgroep.nl with Microsoft SMTPSVC(5.0.2195.6713);

Als ik me niet vergis is dit dan toch een server welke zijn mail bij de Toppic Creator afleverde? Die mail.infotheekgroep.nl lijkt me af zwaar aan het spammen ofzo Of een systeem erachter is misschien wel door een virus geïnfecteerd?

En die mail.infotheekgroep.nl ben ik dus... Dit was het probleem. Maar nu getakeld. Ondanks dat hij door veel, heelveel relay tests heen kwam...

En het was geen virus, we hebben de exchange direct zonder lan op de Firewall geplaatst, en spamming ging nogsteeds door. En er draaien verschillende tools op zoals groupshield e.d.

[ Voor 14% gewijzigd door BasXcore op 04-02-2004 23:04 ]

Acties:

k-oz

do not feed the trolls

maar dat is een bekend probleem, wanneer je het guest account open hebt staan. daar is op got nog wel een topic van te vinden....
Microsoft KB 251149

en dit is ook intressant

[ Voor 40% gewijzigd door k-oz op 05-02-2004 00:31 . Reden: url ]

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

donderdag 5 februari 2004 21:04

Acties:

vrijdag 6 februari 2004 14:23

BasXcore schreef op 04 februari 2004 @ 23:02:
[...]
En die mail.infotheekgroep.nl ben ik dus... Dit was het probleem. Maar nu getakeld. Ondanks dat hij door veel, heelveel relay tests heen kwam...
En het was geen virus, we hebben de exchange direct zonder lan op de Firewall geplaatst, en spamming ging nogsteeds door. En er draaien verschillende tools op zoals groupshield e.d.

Zonder nu meteen afgedaan te worden als 'Microsoft Basher'; het is een goed gebruik om een Microsoft Exchange server niet direct aan Internet te plaatsen, maar er een (Unix/Linux/BSD) SMTP machine voor te zetten. Exchange is een goede workgroup mailserver, maar inherent aan de complexiteit van het product zitten er ook de nodige risico's aan. Het 'Guest' account waar jij tegenaan gelopen bent is er een, maar er waren er vroeger meer en het is niet onwaarschijnlijk dat er nog ooit wel eens een 'issue' met Exchange als SMTP server icm relaying of andere security problemen ontstaat.

Acties:

Brahiewahiewa

boelkloedig

Maarten.O schreef op 05 februari 2004 @ 21:04:
[...]de nodige risico's aan. Het 'Guest' account waar jij tegenaan gelopen bent is er een,

Het 'Guest' account staat standaard disabled. Iemand bij infotheek heeft dat open gezet zonder zich van de gevaren bewust te zijn; daar kun je Exchange niet de schuld van geven. Als diezelfde iemand op de (Unix/Linux/BSD) SMTP perimeter machine anonymous access aanzet, gaat 't net zo goed mis.

QnJhaGlld2FoaWV3YQ==

vrijdag 6 februari 2004 23:44

Acties:

zaterdag 7 februari 2004 00:06

Brahiewahiewa schreef op 06 februari 2004 @ 14:23:
[...]
Het 'Guest' account staat standaard disabled. Iemand bij infotheek heeft dat open gezet zonder zich van de gevaren bewust te zijn; daar kun je Exchange niet de schuld van geven. Als diezelfde iemand op de (Unix/Linux/BSD) SMTP perimeter machine anonymous access aanzet, gaat 't net zo goed mis.

Je hebt het nu over een specifiek probleem. Het feit is dat Exchange nogal veel functionaliteit bevat. Al die functionaliteiten in je DMZ beschikbaar stellen is een risico. Zeker als die server deel uit maakt van een netwerk/domein van meerdere
servers. Stel dat er (ooit) een lek in de SMTP connector/service komt waardoor je middels een bufferoverlow een shell kan krijgen op die machine. Dat wil je niet, als
die machine onderdeel van je domein uitmaakt..

Maar om terug te komen op je specifieke argument; Ik snap niet waarom AUTH functionaliteit default aan staat. Effe theoretisch gesproken is dat een geweldige brute-force optie als de password lockout policy niet gedefinieerd is. Prima als
je het wilt gebruiken; maar laat die paar promile gebruikers die die feature nodig heeft dan ff de documentatie/kb lezen om het aan te krijgen. Dat is trustworthy computing..

Acties:

zaterdag 7 februari 2004 01:43

Maarten.O schreef op 06 februari 2004 @ 23:44:
[...]
Maar om terug te komen op je specifieke argument; Ik snap niet waarom AUTH functionaliteit default aan staat. Effe theoretisch gesproken is dat een geweldige brute-force optie als de password lockout policy niet gedefinieerd is.

Kijk en dat bedacht ik me dus ook... Het is best wel een gevaarlijke, "onnodige" optie wanneer je geen telewerkers hebt met dynamische IPs ofzo (die dus login op SMTP zullen gebruiken).

PS. Hmm, toch wel leuk wat je allemaal leert van dit soort problemen en het lezen van RFC's

Acties:

Brahiewahiewa

boelkloedig

Maarten.O schreef op 06 februari 2004 @ 23:44:
[...]die paar promile gebruikers die die feature nodig heeft dan ff de documentatie/kb lezen

Misschien moet je daar zelf eens mee beginnen (nofi); deze feature wordt namelijk door iedereen gebruikt die meer dan 1 exchange server in z'n organisatie heeft, zo'n 80% van de clientele. Exchange SMTP servers authenticeren onderling (NTLM of Kerberos) tijdens het uitwisselen van mail

QnJhaGlld2FoaWV3YQ==

zaterdag 7 februari 2004 21:06

Acties:

zaterdag 7 februari 2004 23:58

Brahiewahiewa schreef op 07 februari 2004 @ 01:43:
[...]
Misschien moet je daar zelf eens mee beginnen (nofi); deze feature wordt namelijk door iedereen gebruikt die meer dan 1 exchange server in z'n organisatie heeft, zo'n 80% van de clientele. Exchange SMTP servers authenticeren onderling (NTLM of Kerberos) tijdens het uitwisselen van mail

Ik trek ten zeerste in twijfel of dat 80% van de gebruikers is, ik gok eerder dat meer dan 80% maar een Exchange server in het domein heeft. Dat Exchange SMTP servers onderling met elkaar authenticeren is prachtig, maar dan nog steeds geldt dat het verstandiger is om de optie default uit te zetten.

En ik kan een gedachtenkronkel hebben (of gewoon bewust weinig met meerdere exchange servers werken), maar gebruik je daarvoor niet een site connector? Geen SMTP naar SMTP verbindingen voor zover ik ze meegemaakt heb, tenzij die twee Exchange servers zover van elkaar gescheiden zijn dat ze niet tot dezelfde organisatie behoren, maar dan is het gebruik van authenticatie ook niet echt nodig.

Anyway, we kunnen deze thread eindeloos laten verzanden in postings waarin jij je Exchange kennis tentoonspreid en ik probeer duidelijk te maken dat het niet handig is om 'full blown' Exchange servers aan het Internet te hangen (deels gefirewalled of niet), maar ik heb mijn punt gemaakt, doe ermee wat je wil (of niet

)

Acties:

Brahiewahiewa

boelkloedig

Maarten.O schreef op 07 februari 2004 @ 21:06:
[...]Anyway, we kunnen deze thread eindeloos laten verzanden in postings waarin jij je Exchange kennis tentoonspreid en ik probeer duidelijk te maken dat het niet handig is om 'full blown' Exchange servers aan het Internet te hangen (deels gefirewalled of niet), maar ik heb mijn punt gemaakt, doe ermee wat je wil (of niet )

Nou, het lijkt me vooral belangrijk om niet teveel voeding te geven aan de mythe dat een Linux/Unix/BSD SMTP relay "out of the box" veiliger zou zijn dan een Exchange server. Op bugtraq haal je bevobbeld achteloos 20 lekken in SendMail tevoorschijn.

QnJhaGlld2FoaWV3YQ==

zondag 8 februari 2004 20:05

Acties: