我们是合法公司。过去我们遇到过一些问题,病毒攻击/垃圾邮件机器人使我们的电子邮件服务器被列入黑名单。
在最近的一次攻击之后,我的任务是想出一个解决方案,让我们在确定被阻止后,能够切换到干净的服务器和 IP
这是我的上级期望它如何运作...(我觉得电子邮件的设置方式以及黑名单的监控方式可能不会像他们期望的那样运作....尽管黑名单确实在 IP 上起作用而不是域名....)
确定哪台计算机或 Exchange 服务器受到感染。转到干净的 Exchange 服务器或从网络中删除受感染的计算机。将公司切换到可正常运行且无病毒的 Exchange 服务器。(备用服务器已准备就绪)将 Exchange 服务器切换到备用 IP 地址以避免被列入黑名单。
这里的想法是转移到一个干净、无病毒的服务器和一个未被阻止的 IP。
问题:
这可能吗?
我们会再次被封锁吗?(假设我们没有在辅助服务器和 IP 上发送垃圾邮件)
我如何才能将用户从一个 Exchange 移动到另一个 Exchange。移动邮箱需要很长时间。两个 Exchange 服务器都在现场(物理上彼此相邻)
由于电子邮件信誉非常重要,因此期望从辅助 IP 发送的电子邮件能够到达用户收件箱是否合理?
他们预计,从(最坏情况下的)受感染且 IP 被阻止的 Exchange 服务器切换到具有干净 IP 的干净 Exchange 服务器需要不到 30 分钟的时间。
服务器 2003 R2 Exchange 2003 SP2 活动目录
非常感谢大家的帮助/建议/或替代方案!谢谢大家,Campo
编辑:每台机器都有 AVG
Exchange 服务器不是开放中继,需要身份验证
我已采取一切预防措施,但我们仍然被感染。
编辑:再次被屏蔽
新病毒名称(GRUM)
这不在我们的 Exchange 服务器上。不可能,扫描了这么多东西。我自己检查了注册表。什么都没有!扫描了所有其他服务器,什么都没有,扫描了用户计算机,什么都没有,什么鬼?
奇怪的是,电子邮件仍然可以发送,但我们在 CBL 上......
将 SMTP 移至非标准端口。在防火墙上明确阻止端口 25。将我们除名。
更新:
我添加了其他 IP。现在如何将一个 IP 上的用户连接到另一个 IP 上的服务器?我是否只让 Exchange 服务器拥有 2 个 IP(每个内部网络一个)还是有更多 IP?
更新2
这是对 @Madboys 在其回答下的评论的回复:
我还没有做。这是设置。我们现在有 5 个 IP。我现在将使用 2 个。1 个用于办公网络。1 个用于交换。我们的调制解调器包含发送到机器背面一个端口的两个 IP。该 LAN 电缆进入交换机,然后分成 2 个。每个都进入我们的调制解调器(双 Wan RV042)我将交换分配给一个子网。网络到另一个。请确认此计划。理想情况下,PIX 或类似的 FW 设备是最好的。但同样必须花费 0 美元。问题是,一个子网上的用户将如何与另一个子网上的用户通信?我应该以不同的方式设置吗?完全独立的网络?
更新 3
****好的,我可以做到这一点。调制解调器到交换机,然后我有 3 条电缆从交换机中出来。1 连接到 WRT54G,用于无线连接,并将外部顾问隔离在他们自己的网络上(他们没有理由使用我们的网络)。另外两根电缆连接到我的 RV042,它支持双 WAN。我设置了第二个子网。现在,如何在自己的子网上隔离每个 WAN?我相信此设备上的双 WAN 的目的是通过使用单独的 ISP 来保持正常运行时间....请帮忙。我们非常接近,请提供建议:除了来自交换服务器之外,我没有在端口 25 上看到任何出站连接。所以这很好。从交换中,端口 25 的流量处于正常速率,反映了我们的流量。****
更新 4
我研究过 Open WRT 和其他解决方案。我发现PF 感知看起来完美!。有什么想法吗?我有一台旧的 P4 可以使用。然后只需要几张兼容的网卡 :)。
解决:
修改的网络布局。
RV042 支持 1:1 天然
使用 WRT54G 在 1:1 Nat 上进行隔离 Wifi
在 Exchange 服务器上使用 2 个网卡
1:1 IP 映射到 smtp 和 OWA 等。其他用于网络流量。
感谢所有人对此问题提供的帮助和协助。
答案1
我拥有 Exchange 2003 服务器,只被列入过一次黑名单。你肯定做错了什么,才会被列入这么多黑名单。我通过以下操作解决了这个问题:
- 使用 mxtoolbox 检查我当前的服务器设置,查看 IP 是否未被阻止,以及 Exchange 是否配置正确(拒绝任何类型的开放门)。在 DNS 中创建 SPF 记录。
- 将交换传入/传出连接置于仅由 Exchange 使用的 IP 上,而不用于其他用途。
- 将用户置于不同的外部 IP(nat)上,并在防火墙上阻止端口 25,这样用户就无法在 25 端口上发送任何电子邮件。他们始终可以使用 587 和其他 SSL 端口将电子邮件发送到他们的服务器。
这 3 条规则应该可以让你顺利运行,避免垃圾邮件问题。你甚至可以浏览并取消列出已列入黑名单的 IP。MxToolBox 在这方面会帮到你很多。
补充一下,也许你应该寻求一些帮助。聘请顾问或类似人员。如果你需要帮助,我可以提供帮助。
回答您的一些问题:
- 您无需将用户转移到新的交易所,甚至无需为此设置额外的交易所。您只需更改其 IP 或路由到不同的 IP 地址即可。
- 有些黑名单会列出范围,尤其是动态范围或垃圾邮件比例较高的范围。有些范围被禁止为动态范围,即使它们不是,或者因为您的邻居是垃圾邮件而被禁止。但不用担心。通常,您只需转到此垃圾邮件列表并取消列出您自己的 IP 或甚至将其列入白名单即可。但这只能在您确定自己不再发送垃圾邮件的情况下才能执行。如果您之前这样做,您将再次被列入黑名单,并且这样做的次数越多意味着更难删除(甚至不可能)。
所以我的建议是清理你的环境(你可以在垃圾邮件列表上检查你是否仍在发送垃圾邮件,因为它们通常会让你检查从你的 IP 收到的最后一封垃圾邮件 - 将其作为调查的一部分),阻止 25 端口,将交换放在与其他服务器和用户不同的 IP 上,并每天检查你是否运行正常。你甚至可以在 MXToolBox 上设置监控,如果有任何垃圾邮件开始发送,它会向你发送电子邮件。
答案2
保护好您的 Exchange 服务器,然后再尝试弄清楚如何动态地迁移 Exchange,这样会好得多。
在您的 Exchange 服务器上安装一些防病毒软件。保护您的前端服务器(运行 SMTP 的服务器以及互联网上的计算机向其发送电子邮件的服务器),以便人们无法通过您的网络外部的服务器发送电子邮件。在您的所有服务器和工作站上安装一些防病毒软件。
一旦完成所有这些,您就应该受到保护,不会受到垃圾邮件发送者通过您的服务器发送电子邮件的侵害,并且您也不会再被列入黑名单。
答案3
我认为你把太多鸡蛋放在了错误的篮子里。首先要做的事情是:保护你的网络!
在网关处进行某种病毒扫描。在同一位置安装 IPS 也是个好主意。
在所有计算机上安装好的防病毒软件。我知道我们讨厌它(我也讨厌它),但它是必要之恶。任何突破第一道防线的东西都会被 AV 拦截。
阻止除 Exchange 服务器之外的所有计算机向端口 25 发出出站连接。ISP 经常这样做是有原因的。因为它可以彻底阻止垃圾邮件僵尸。如果它们无法连接到端口 25,那就无能为力了。
查看外发电子邮件服务。我是波斯蒂尼我自己。就价格而言,它非常值得。还有其他的。我认为 Trend Micro、AppRiver 和 Exchange Defender 都提供这种功能……可能还有很多……
至于您的解决方案,肯定是可能的。大多数阻止列表都会阻止单个 IP 地址。因此,如果一个被阻止,您可以切换到另一个。但是,我认为有比这更智能的阻止列表。我敢肯定有人会分块阻止 IP 地址。所以我不会将此作为真正的解决方案。
至于人员迁移,您始终可以通过另一台 Exchange 服务器路由电子邮件,而无需移动邮箱。没有什么可以说仅仅因为用户的邮箱在一台服务器上,他们的所有邮件都必须从同一台服务器发送到互联网……只需在 Exchange 中将其设置为全部通过干净的服务器即可。
答案4
是的,您可以转移到不同的 IP 和服务器。但是,除非您找到这种现象的根源并防止其再次发生,否则这种情况几乎肯定会再次发生(一次又一次 :-)。垃圾邮件斗士们并非一无所知,预计这种做法只会持续一段时间,之后他们会实施更大的拦截并开始联系您的上游 ISP。
那么你能这样做,但这不应该成为你被列入黑名单的主要反应。