我们拥有两台 Exchange 服务器,它们在某种程度上遭到了黑客攻击。get-queue显示队列中有数万封电子邮件。大多数电子邮件被发送到 yahoo.com.tw、yaahoo.com.tw、yahoo.com.hk 和 yatw。
在找到连接到我们其中一台邮件服务器的 25 端口的台湾 IP 后,我将该 IP 添加到我们防火墙的 ACL 中,队列便不再填满。
我清除了两台服务器上近 10 万个队列,问题似乎已经解决。
我的问题是,如果没有开放中继(我已确认我们没有),我应该如何调查安全漏洞在哪里?我想查看某个用户的帐户是否正在验证身份,如果是,当然要更改密码。如果我们没有开放中继,他们还有没有其他中继方式?
答案1
谜题解开了。虽然有点尴尬,但也许将来这会对其他人有所帮助:
如上所述,我们有两台 Exchange 服务器(版本 2013)。它们位于数据库可用性组 (DAG) 中,以实现冗余和性能。Linux 机器上的 HAProxy 充当 DAG 的负载平衡器。
在安装负载平衡器之前,我们会将防火墙上的 NAT 规则从一台服务器切换到另一台服务器,以测试每台服务器,本质上是模拟安装负载平衡器后会执行的操作。安装负载平衡器后,一切仍然运行良好,但有一件事除外:我们的匿名 SMTP 中继。
我们的其他一些服务器使用 SMTP 发送消息和通知。其中有一两个服务器在指向 SMTP 服务器时只允许使用简单的服务器地址和端口,并且不允许使用更多设置(如用户/密码),这些设置可用于设置与经过身份验证的中继的连接。因此,我们设置了匿名接收连接器(而不是“开放中继”),其范围仅限于根据 IP 地址允许需要访问的服务器。
好吧,当负载平衡器安装到位时,SMTP 中继不再为试图连接到它的其他服务器中继流量。这是因为负载平衡器将通过它的 SMTP 请求的源地址更改为它自己的 IP。好吧,我迅速而愚蠢地将负载平衡器的 IP 添加到匿名中继范围,哇!...我们的服务器可以再次使用中继......互联网的其余部分也可以!
因此,与我在原始帖子中担心的相反,没有人拥有我们的凭据,也没有在我们的服务器上安装任何恶意程序,我只是意外地创建了我们的匿名中继和开放中继,这一切都是因为我允许负载均衡器的 IP 成为中继范围的一部分。
我现在的问题是找到一种方法,让我的其他服务器使用基于 IP 地址而不是身份验证的中继发送电子邮件(我最初使用的方式),因为他们的软件不允许后者。当然,我可以直接将它们指向其中一个 Exchange 服务器,绕过负载平衡器,但这会破坏我们两台服务器之间负载平衡的目的。对此有什么想法吗?负载平衡器能否以某种方式更加透明,并且不会更改通过它的 IP 数据包的源地址?