我有一个运行 SBS 2003 Std. 的客户,他们有某种群发邮件程序,会发送垃圾邮件。我们运行的是最新的 Vipre 防病毒软件,我们没有设置为中继,我们更改了管理员密码,并且已打开收件人筛选。所有电子邮件都来自[电子邮件保护]。我知道这听起来像是反向 DNS 攻击或目录收集,但我们正在运行 GFI Mail Essentials,它没有显示数千条入站消息,只显示数千条出站消息。它们曾经被列入黑名单,我已经将它们清除,并且我一直在关注邮件队列以防止它们再次被列入黑名单。我真的需要一些帮助,我不知道还能做些什么来解决这个问题!?
答案1
我不清楚你看到的是什么。
如果尚未启用“消息跟踪”,我会在 Exchange 中启用它(请参阅http://support.microsoft.com/kb/246856) 并验证 Exchange Server 是否是邮件的来源。
我会在边缘防火墙中设置一条规则,拒绝 TCP 端口 25 上的出站连接除了来自 Exchange Server 计算机。这实际上应该是每个 LAN 中的标准防火墙规则 - 只有授权的邮件服务器才应通过 TCP 端口 25 与 Internet 通信。
如果邮件确实来自 Exchange,那么邮件跟踪应该会为您提供一些线索来追踪来源。不过,我怀疑您的其中一台 PC 上运行着一个恶意 SMTP 邮件程序。防火墙规则应该会阻止这种情况,并且,假设您的防火墙可以进行一些日志记录,应该会向您显示哪台 PC 是流量的来源。
答案2
您的问题有点不清楚:您说他们“有某种群发邮件程序在发送垃圾邮件”。我猜您的意思是这不是故意的。这些邮件是否都经过服务器(检查队列,看看那是否是 Exchange 2003 服务器)?还不清楚这 6 台客户端计算机是通过 Exchange 服务器发送垃圾邮件,还是直接发送到端口 25。
我见过 Exchange 2003,尽管已完全修补,技术上配置正确,但仍存在允许中继的漏洞。后来的补丁修复了这些问题,但现在不要指望这一点。即使您不立即这样做,我肯定会计划迁移到 SBS 2011。
我和其他人一样:我有一个防火墙规则,只允许邮件服务器端口 25 出站,并针对所有其他端口设置了明确的拒绝规则。因此,即使您的每台 PC 都感染了垃圾邮件发送病毒,它们也无法直接发送,您的 ISP 和全世界也不会讨厌您。如果您有一个非常好的 IP 方案,这一切都会更容易做到,否则,您可能需要制定多个规则。听起来您已经以某种方式被感染了,即使您还没有发现它。
详细阐述一下 gravyface 所说的内容,像 Google 的 Postini 这样的服务可以非常便宜地取代您当前的本地过滤器。所有邮件都通过它们进出,并进行垃圾邮件/病毒扫描。然后,您可以在防火墙上仅允许来自 Google 服务器的端口 25 进入,这样除非 Google 出了什么问题,否则邮件将无法通过。这还有一个好处,如果您没有辅助 MX 记录(一些小公司没有),所有邮件都会发送到 Google 的 4 台服务器(他们会为您提供 MX 记录),即使您的服务器宕机,邮件也会排队等待,直到您的服务器重新上线。