Toon posts:

[Exchange2k3] Mailqueue lijkt zich zelf te vullen

Pagina: 1
Acties:

Verwijderd

Topicstarter
Ik heb sinds enige tijd een redelijk werkende Windows 2003 Small Business server draaien. Is echter 1 klein nadeeltje:
De mailqueue lijkt zich zelf te vullen met spam mail.

Voor zo ver ik allemaal kan zien, is een connecte van buiten af NIET mogelijk op poort 25 van de machine.
Unauthorized access staat aan, omdat PoPCon anders de mail niet kan droppen.
Echter heb ik wel bij message delivery in de connection filtering een accept list aangemaakt met alleen de 2 interne IP ranges. (192.168.0.0 en 10.0.0.0)

Nu staat er weer een dikke queue van 3295 domeinen, en tussen de 1 en de 1286 berichten per domein.
Op zich vind ik dat nog niet eens het aller ergste (zei het niet dat de mail die we zelf versturen ontiegelijke vertraging krijgt)
Maar je moet elk domein met de hand aanklikken - find messages - alles selecteren - Delete (no NDR) en dat is VEEL werk voor 3295 domeinen.

Ik heb dus 2 kleine vraagjes,
HOE kan het dat die mail spontaan in de queue komt.
HOE verwijder (flush) ik de queue?

  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023
Probeer eens vanaf een andere locatie / shell account te telnettten naar poort 25 op deze machine???

Volgens mij heb jij namelijk op je router een port-forward staan voor poort 25 naar je exchange en volgens mij laat je exchange alles toe wat er vanaf je router komt .Hence je exchange laat alle mail vanaf internet toe.

Btw. Wat is popcon voor iets???

Verwijderd

Topicstarter
Gomez12 schreef op 15 april 2004 @ 09:32:
Probeer eens vanaf een andere locatie / shell account te telnettten naar poort 25 op deze machine???

Volgens mij heb jij namelijk op je router een port-forward staan voor poort 25 naar je exchange en volgens mij laat je exchange alles toe wat er vanaf je router komt .Hence je exchange laat alle mail vanaf internet toe.

Btw. Wat is popcon voor iets???
code:
1
2
3
4
5
6
[admin admin]$ telnet 213.84.QW.XYZ 25
Trying 213.84.QW.XYZ...
Connected to 213.84.QW.XYZ.
Escape character is '^]'.
Connection closed by foreign host.
[admin admin]$


Poort 25 vind een connectie dus duidelijk NIET lief :)
zoals het ook hoort.

PoPCon is een tooltje wat mail uit pop3 accounts ophaalt, scanned op SPAM en virussen, en vervolgens, op regels gebaseerd in 1 of meerdere exchange mailboxen dropped.
Persoonlijk vind ik hem makkelijker dan de POP3 connector die in exchange zelf zit ingebouwd.

Verwijderd

Ik heb hetzelfde gehad bij mij thuis,
bij mij zat het m in de smtp connector, zodra ik dei service stopte kwamen er geen connecties meer binnen.
Kijk even met netstat waar de conneties vandaan komen.

Mijn oplossing was om er een linux server tussen te zetten, die nu ook spam en virus check doet voordat hij het op de exchange server dropt

Misschien een update van Exchange

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50
Zijn het NDR's die Exchange verstuurt naar de fake-spam-domeinnamen?

Dan denk ik dat het volgende gebeurt:
1. popcon haalt spam mail op
2. user is niet bekend in Exchange
3. Exchange verstuurt NDR
4. queue vult met NDR's die niet afgeleverd kunnen worden.

Dit is alleen op te lossen door een vorm van spam-filtering te doen, via reverse DNS checken of domeinnaam bestaat van afzender of door andere software in te zetten.

Als het geen NDR's zijn ben je een open relay, of is een trojan binnengekomen.

[ Voor 11% gewijzigd door paulhekje op 15-04-2004 10:37 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


  • Equator
  • Registratie: April 2001
  • Laatst online: 12:55

Equator

Crew Council

#whisky #barista

Ik zou in jou geval alleen maar connecties accepteren van de interne IP adressen van de server zelf. (Uitgaande van het feit dat popcon draait op je exchange server)

Als ik je test in de post hierboven bekijk staat je exchange server inderdaad geen verbinding vanaf buiten toe. Maar hij reageert blijkbaar wel op een binnenkomende sessie.
Misschien toch ook de portmap van de router verwijderen. (Als die inderdaad bestaat)

  • Equator
  • Registratie: April 2001
  • Laatst online: 12:55

Equator

Crew Council

#whisky #barista

paulhekje schreef op 15 april 2004 @ 10:36:
Zijn het NDR's die Exchange verstuurt naar de fake-spam-domeinnamen?

Dan denk ik dat het volgende gebeurt:
1. popcon haalt spam mail op
2. user is niet bekend in Exchange
[...]
Dat was mijn eerste gedachte ook. Maar Popcon verstuurd de berichten aan de hand van een regel. Wat hij met niet bestaande adressen doet weet ik niet.

Verwijderd

Topicstarter
paulhekje schreef op 15 april 2004 @ 10:36:
Zijn het NDR's die Exchange verstuurt naar de fake-spam-domeinnamen?

Dan denk ik dat het volgende gebeurt:
1. popcon haalt spam mail op
2. user is niet bekend in Exchange
3. Exchange verstuurt NDR
4. queue vult met NDR's die niet afgeleverd kunnen worden.

Dit is alleen op te lossen door een vorm van spam-filtering te doen, via reverse DNS checken of domeinnaam bestaat van afzender of door andere software in te zetten.

Als het geen NDR's zijn ben je een open relay, of is een trojan binnengekomen.
open relay Hoe moet ik dat zien?
Ja, er worden anonymous berichten geaccepteerd, maar GEEN connecties van buiten af. . . .

Als PoPCon een bericht om wat voor reden dan ook niet kan of wil bezorgen, wordt het mailtje naar een dump account ( MailFilter ) gestuurd. (daar hobbelt dus alle Spam en virussen op binnen)
Met exchange 2003 Test (90 dagen proef, op een Windows 2000 server) heeft vrijwel de zelfde config perfect gewerkt. . .

De mailtjes zijn geen NDRs overigens . . . .

Ik heb de server nu tijdelijk gereconfigged om totaal geen enkel mailtje meer te accepteren (popcon slaat nu de berichten tijdelijk op tot deze gedropped kunnen worden, handige optie als je exchange op zn muil gaat, mail raak je niet kwijt)

Kijken wat er nu gebeurt.

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Het probleem zit 'm niet in het accepteren van connecties ( 't from-IP-address veld is kinderlijk eenvoudig te frauderen) maar in het toestaan van Relay. Goeie kans dat bij "Relay Restrictions" het vinkje "Allow all computers which successfully authenticate to relay, regardless of the list above" aan staat. Als je dan je Guest account niet hebt gedisabled of je hebt een user account met een makkelijk te raden password, dan ben je per saldo een open relay. Je zult ondertussen wel overal geblacklist zijn; vandaar dat je queue's oplopen.

QnJhaGlld2FoaWV3YQ==

Pagina: 1