我们的防火墙大约在 3 周前出现故障,在更换防火墙期间,我们被列入了“cbl.abuseat.org”垃圾邮件黑名单。安装并配置新防火墙后,我们便可以取消列入名单。现在大约 2 周后,我们又被列入名单。以下是我们的配置信息以及我们尝试过的方法。
Win2K3 - Exchange 2003 可穿过防火墙。防火墙设置为拒绝所有传出的 SMTP 流量,但来自我们的 Exchange 服务器的 SMTP 流量(最初不限制到端口 25)除外。我们的 110 台客户端 XP 机器运行 McAfee,并设置为不允许发送 smtp 流量(我见过这种做法,因此相当有信心它确实有效)。这还不错,直到昨天我们再次被列入黑名单。
与防火墙供应商合作后,我们现在只允许来自 Exchange 服务器的 25 端口上的 SMTP 通信。所有其他 SMTP 通信均被阻止离开我们的网络。看来邮件是从我们的 Exchange 服务器通过奇怪的端口(例如 .23111)发出的,这是正确的(请参阅第一组日志信息)?但从最新日志来看,我不确定这个问题是否已得到解决。此外,垃圾邮件机器人是否可以通过 25 端口上的 Exchange 服务器发送垃圾邮件?如果可以,是否可以在不找到垃圾邮件机器人的情况下阻止它?我们正在寻找垃圾邮件机器人,但目前还没有任何运气。
谢谢你的帮助。
在进行最新的防火墙更改之前,我运行了 tcpdump 并获得了以下信息:
16:54.8 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 263, win 65273, length 0
16:55.7 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4221, win 14600, length 12
16:55.7 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [P.], ack 275, win 65261, length 6
16:56.0 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4221, win 14600, length 12
16:56.0 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 275, win 65261, length 0
16:56.1 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [P.], ack 4227, win 14600, length 21
16:56.1 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [F.], seq 296, ack 4227, win 14600, length 0
16:56.1 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [.], ack 297, win 65240, length 0
16:56.1 IP exchange-server.our-domain.com.23111 > s5a1.psmtp.com.25: Flags [F.], seq 4227, ack 297, win 65240, length 0
16:56.6 IP s5a1.psmtp.com.25 > exchange-server.our-domain.com.23111: Flags [.], ack 4228, win 14600, length 0
16:57.7 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [S], seq 3560091943, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:58.0 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [S.], seq 3962637029, ack 3560091944, win 5840, options [mss 1380,nop,nop,sackOK], length 0
16:58.0 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [.], ack 1, win 65535, length 0
16:58.1 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [P.], ack 1, win 5840, length 20
16:58.1 IP exchange-server.our-domain.com.23257 > pineapp.hcsmail.co m.25: Flags [P.], ack 21, win 65515, length 33
16:58.2 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [.], ack 34, win 5840, length 0
16:58.2 IP pineapp.hcsmail.com.25 > exchange-server.our-domain.com.2 3257:00:00 Flags [P.], ack 34, win 5840, length 20
这是防火墙更改后我得到的结果:
01:52.6 IP our-exchange.our-domain.com.17177 > our-domaincontroller.our-domain.com.53: 12044+ A? mail.painclinic-nw.com. (40)
01:52.6 IP our-exchange.our-domain.com.15727 > our-domaincontroller.our-domain.com.53: 12285+ A? mail.snyders-han.com. (38)
01:52.7 IP 99-53-214-98.lightspeed.genvil.sbcglobal.net.1770 > our-exchange.our-domain.com.443: Flags [.], ack 570, win 16380, length 0
01:52.9 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 49
01:52.9 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 197
01:52.9 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58065: Flags [.], ack 1503, win 64573, length 0
01:52.9 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58068: Flags [P.], ack 1, win 64649, length 149
01:52.9 IP ggadke.our-domain.com.1203 > our-exchange.our-domain.com.1025: Flags [.], ack 1, win 65016, length 1
01:52.9 IP our-exchange.our-domain.com.1025 > ggadke.our-domain.com.1203: Flags [.], ack 1, win 65269, length 0
01:52.9 IP dwhite.our-domain.com.1215 > our-exchange.our-domain.com.1025: Flags [.], ack 1631, win 65535, length 1
01:52.9 IP our-exchange.our-domain.com.1025 > dwhite.our-domain.com.1215: Flags [.], ack 2574, win 64590, length 0
01:52.9 IP vbejin.our-domain.com.1282 > our-exchange.our-domain.com.1025: Flags [.], ack 1, win 64548, length 1
01:52.9 IP our-exchange.our-domain.com.1025 > vbejin.our-domain.com.1282: Flags [.], ack 1, win 64769, length 0
01:53.0 IP 204-0.202-68.tampabay.res.rr.com.58065 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 49
01:53.0 IP our-storagedevice.our-domain.com.123 > our-exchange.our-domain.com.123: NTPv3, symmetric active, length 68
01:53.0 IP our-exchange.our-domain.com.21059 > our-domaincontroller.our-domain.com.53: 34757+ PTR? 9.1.168.192.in-addr.arpa. (42)
01:53.0 IP our-domaincontroller.our-domain.com.53 > our-exchange.our-domain.com.21059: 34757* 1/0/0 PTR[|domain]
01:53.0 AR P, Request who-has our-storagedevice.our-domain.com tell our-exchange.our-domain.com, length 28
01:53.0 IP our-exchange.our-domain.com.123 > our-storagedevice.our-domain.com.123: NTPv3, Server, length 68
01:53.1 AR P, Reply our-storagedevice.our-domain.com is-at 00:15:17:22:b2:44 (oui Unknown), length 92
01:53.1 IP 99-53-214-98.lightspeed.genvil.sbcglobal.net.1775 > our-exchange.our-domain.com.443: Flags [P.], ack 1, win 17477, length 41
01:53.1 IP our-exchange.our-domain.com.443 > 204-0.202-68.tampabay.res.rr.com.58065: F
以下是来自 Exchange 服务器的 smtp 日志的一部分:
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 220+Postini+ESMTP+225+y6_29_1c0+ready.++CA+Business+and+Professions+Code+Section+17538.45+禁止将此系统用于未经请求的电子邮件广告。 0 0 164 0 78 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 EHLO - our-exchange.Northwoods.com 0 0 4 0 78 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 250-Postini+says+hello+back 0 0 27 0 172 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 MAIL - FROM: 0 0 4 0 172 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 我们的交换 - 25 - - 250+Ok 0 0 6 0 250 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 RCPT - TO: 0 0 4 0 250 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 我们的交换 - 25 - - 250+Ok 0 0 6 0 782 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 数据 - - 0 0 4 0 782 SMTP - - - -
2010 年 7 月 2 日 17:36:15 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 354+Feed+me 0 0 11 0 860 SMTP - - - -
2010 年 7 月 2 日 17:36:17 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 250+感谢 0 0 10 0 1657 SMTP - - - -
2010 年 7 月 2 日 17:36:17 64.18.6.14 OutboundConnectionCommand SMTPSVC1 our-exchange - 25 QUIT - - 0 0 4 0 1672 SMTP - - - -
2010 年 7 月 2 日 17:36:17 64.18.6.14 OutboundConnectionResponse SMTPSVC1 our-exchange - 25 - - 221+Catch+you+later 0 0 19 0 1735 SMTP - - - -
2010 年 7 月 2 日 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 我们的交换网关 IP 0 EHLO - #NAME? 250 0 320 27 0 SMTP - - - -
2010 年 7 月 2 日 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 我们的交换网关 IP 0 MAIL - +FROM: 250 0 108 95 0 SMTP - - - -
2010 年 7 月 2 日 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 我们的交换网关 IP 0 RCPT - +TO: 250 0 41 38 0 SMTP - - - -
2010 年 7 月 2 日 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 我们的交换网关 IP 0 数据 - +<[电子邮件保护]> 250 0 141 22978 281 SMTP - - - -
2010 年 7 月 2 日 17:37:09 208.65.144.247 p01c11m094.mxlogic.net SMTPSVC1 我们的交换网关 IP 0 QUIT - p01c11m094.mxlogic.net 240 515 75 4 0 SMTP - - - -
答案1
嗯...从哪里开始呢?
您的 Exchange 服务器不会从端口 25 与其他电子邮件服务器建立出站 SMTP 连接,而是将这些出站连接建立到端口 25。无论所讨论的服务是什么,所有 TCP\IP 主机都是这样运行的(大多数情况下如此,但在本论点中,请考虑这种情况)。Exchange 使用临时端口范围内的本地端口作为其传出端口,并通过该服务器的端口 25 连接到另一台电子邮件服务器。当其他电子邮件服务器连接到您的 Exchange 服务器向您发送电子邮件时,情况正好相反,另一台服务器从其临时端口之一连接到您的 Exchange 服务器的端口 25。
您为什么认为防火墙与这个问题有关?当防火墙出现故障时,您没有安装替换防火墙吗?在等待新防火墙时,是什么在保护您的网络?
如果您的任何工作站感染了恶意软件,那么他们就有可能通过 MAPI 或 SMTP(取决于工作站和 Exchange 服务器的配置方式)通过 Exchange 服务器发送垃圾邮件,或者从他们自己发送垃圾邮件。
仅在 Exchange 服务器前安装防火墙与您的出站邮件是否会被标记为垃圾邮件或您的 Exchange 服务器的出站 IP 地址是否会被列入黑名单无关。外部电子邮件服务器无法检测您的 Exchange 服务器是否位于防火墙后面。防火墙可以通过将出站 SMTP 流量限制为仅来自 Exchange 服务器的流量(大概不会用作中继)来降低被列入黑名单的可能性。
您的第一个 tcpdump 显示了可能是 SMTP 通信会话的 TCP 会话信息,但没有提供有关该 SMTP 会话的信息,因此对于解决您的问题几乎没有用处。
您的第二个 tcpdump 没有显示我能找到的任何 SMTP 连接,因此对于解决您的问题毫无价值。
综上所述,这里有几点建议:
确保您的 Exchange 服务器出站问候语与您的公共 MX 记录的 FQDN 相匹配。
确保在公共 DNS 中为 Exchange 服务器的 FQDN 设置 PTR 记录。
确保在公共 DNS 中设置 SPF 记录。
限制除 Exchange 服务器之外的所有内部主机的所有出站通信至端口 25。
虽然这些都不能保证让你脱离黑名单,但在这方面还是有帮助的。
最后,请在 Exchange 服务器上启用 SMTP 日志记录,这样您就可以拥有所有入站和出站 SMTP 会话的日志记录。这对于解决 SMTP 问题非常有用。
答案2
这里没有太多信息,但 CBL 只会列出您的信息,因为您的基础设施已被垃圾邮件发送者使用。这可能意味着您正在发送垃圾邮件,但也可能意味着您有一个开放代理(HTTP、Socks 或其他),或者您托管的网站上可能有一个易受攻击的 html 表单。CBL 应该会给出一些关于您被列入名单的原因。
如果您的机器正在发送垃圾邮件,那么您应该在防火墙上设置默认的拒绝所有策略,密切监控允许和拒绝的流量,并且只有在您确定没有任何内容试图从这些机器上发送时才打开端口。您还应该查看您对外开放的端口,以确保没有人使用任何形式的代理,并且您应该确保您托管的任何网站都是安全的。
您提到您在所有机器上运行 McAffee。病毒定义是否保持最新?如果您对某些机器运行不良有所建议,那么您可能需要在这些机器上运行其他供应商的防病毒软件,以查看 McAffee 是否遗漏了任何内容。
您可能还想确保您不是开放的 SMTP 中继,尽管这通常不足以让您被列入 CBL 名单。
答案3
虽然花了几天时间,但我们相信我们终于解决了这个问题。事实证明,当我们的防火墙被替换时,新的配置会将报告发送到我们的网络之外,然后再返回,而不是只在内部。如果防火墙中的电子邮件中继是用 FQDN 设置的,这不会是一个问题,但它实际上被视为通用 IP 127.0.0.1,然后被当作可能的垃圾邮件。因此,几天的故障排除只是每晚午夜发出一封配置错误的电子邮件的结果。