Question Comment détectez-vous un spam sur votre réseau?


J'aide à gérer un petit réseau d'environ 40 ordinateurs. Nous utilisons un serveur de messagerie Exchange 2003.

Quel est le meilleur moyen de trouver quelle machine est infectée par un spambot? J'ai essayé d'installer des programmes anti-virus et anti-malware sur chaque ordinateur. Après avoir analysé les ordinateurs, j'en ai trouvé quelques-uns qui contenaient de nombreux programmes malveillants et je pensais que notre problème était résolu. Cependant, notre nom de domaine continue à être bloqué par les listes noires DNS et je dois les supprimer quotidiennement pour que nos clients puissent recevoir notre courrier électronique.

Note: Nous sommes attaqués par les tactiques de Directory Harvest et Backscatter.

edit: Notre serveur de messagerie sert également de serveur DNS. Cela pourrait-il éventuellement ouvrir des vulnérabilités aux attaques de spam?


6
2018-05-28 14:54


origine




Réponses:


Tout d'abord, vous devez arrêter le spam.
a- configurez votre pare-feu sur ne pas autoriser les protocoles SMTP / POP sortants sauf à partir du serveur de messagerie.
b- paramétrez votre serveur de messagerie sur ne pas autoriser le relais sortant.

Ensuite, vous devez trouver la ou les machines à problèmes.
1- Consultez les journaux du pare-feu pour voir quel (s) ordinateur (s) essaient réellement de traiter le courrier sortant et sont bloqués. Ces machines sont infectées.
2- Assurez-vous que chaque machine dispose du système A / V actuel et effectuez une analyse complète sur chaque machine.
3- Vous souhaiterez peut-être mettre en place le pare-feu Windows sur chaque ordinateur.
4- Si toujours pas trouvé, vous devrez utiliser un renifleur.

Remarque: Je ne pense pas que le DNS et la messagerie sur le même serveur posent problème.


6
2018-05-28 17:21



Honnêtement, cela semble être une bonne solution. Cependant, le fait de ne pas être trop familier avec Exchange 2003 limite mes connaissances sur la manière de procéder pour la mettre en œuvre. Je suppose que nous devrons simplement embaucher une personne extérieure à la société qui dispose de plus de connaissances en matière de réseau / serveur. - mav
Les "restrictions de relais" sont contrôlées dans l'onglet "Accès" de la page de propriétés "Serveur virtuel SMTP". Il s'agit d'un groupe de couches vers le bas via le Gestionnaire système Exchange. Le chemin d'accès complet (sur mon serveur) est Groupes d'administration / Premier groupe d'administration / Serveurs / << nom du serveur >> / Protocols / SMTP / Serveur virtuel SMTP par défaut. - tomjedrz


Le problème peut être que votre serveur d’échange autorise RELAY. Assurez-vous que ce paramètre est désactivé ou définissez uniquement les adresses IP autorisées à relayer via ce serveur. Votre conception de réseau ne doit autoriser que le serveur d’échange à envoyer du trafic hors de votre réseau via le port 25.

La plupart des spambots utilisent le port 25. Une fois la configuration ainsi effectuée, si un autre ordinateur tente d’envoyer via le port 25, il apparaîtra dans les journaux du pare-feu.

Bonne chance!


3
2018-05-28 15:09



Comment vérifier les options de relais de mon serveur Exchange afin de pouvoir le désactiver? - mav
Essaye ça amset.info/exchange/smtp-relaysecure.asp - Saif Khan


  1. Vous devriez renifler votre trafic réseau. Il existe de nombreux outils intéressants, allant des vidages de paquets simples, similaires à tcpdump, jusqu'aux applications de visualisation d'interface graphique sophistiquées. En règle générale, vous devrez soit: a) vous connecter à un port spécial de votre commutateur, b) configurer un autre port pour visualiser tout le trafic, ou c) effectuer la détection à partir de votre pare-feu / routeur. D'abord, concentrez-vous uniquement sur la recherche de trafic SMTP vers le monde extérieur à partir de tout ordinateur autre que le serveur Exchange. Plus tard, vous devriez examiner tout le trafic pour voir s'il se passe autre chose: IRC depuis la machine de quelqu'un qui ne sait même pas ce qu'est IRC, par exemple.
  2. Rédigez un énoncé en langage clair indiquant quel trafic devrait être autorisé en dehors de votre réseau et implémentez des règles sortantes sur votre pare-feu / routeur, avec la consignation. Vous serez surpris de voir à quel point cela fonctionne. Et cela voudra aussi dire que vous saura quand quelque chose de mauvais se passe avant vous l'entendez d'une fête extérieure!

1
2018-05-28 15:11





Si vous avez un pare-feu, une solution simple consiste à bloquer tout le trafic du port sortant 25 à l'exception de votre serveur Exchange. Certaines machines essaient probablement d’envoyer du spam par leurs propres moyens. Une fois que vous avez mis le blocage en place, consultez les journaux du pare-feu pour savoir quelle adresse IP tente ou non d'atteindre le port 25 sortant.


1
2018-05-28 17:20





Où sont stockées vos données? Le matériel est-il presque identique? Il serait peut-être plus facile de les représenter.


0
2018-05-28 15:08



Nos données de courrier électronique sont stockées localement sur chaque ordinateur. Nous avons d’autres serveurs, mais je ne crois pas qu’ils devraient affecter notre serveur de messagerie. - mav


J'ai utilisé un programme appelé Showtraf auparavant qui surveille le trafic sur le réseau. Nous avions un problème similaire auparavant et il montrait l'adresse IP qui envoyait de grandes quantités de données sur le port 25.

Disponible ici - http://demosten.com/showtraf/


0
2018-05-28 15:09