我正在运行 Server 2003。Exchange 2007。
我的系统上有一些东西在发送大量垃圾邮件,现在大部分都被外界屏蔽了。(我们可以接收,但不能发送,因为我们在垃圾邮件列表中。)
我对这个服务器毫无经验,没有维护记录,也没有人可以求助。我只能盲目地进入。
在我详细说明之前,这里的绝对关键是:
- Exchange 正在使用我们的域名发送垃圾邮件,但用户名是随机生成的。
据我了解,垃圾邮件的可能载体是:
服务器本身有病毒。
受感染的网络计算机。
滥用 NDR(反向散射)或开放中继的外部计算机。
这服务器问题:
确实有一个可怕的密码策略。我不会说它是什么,但几乎所有账户都使用一个你能想象到的最糟糕的密码之一,而其他账户则使用一个好密码,但许多人都共用一个密码。
反恶意软件字节检测到了一个零访问 rootkit。之后我还运行了 TDSSkiller,没有再检测到任何实例。但是,它可能仍然在备用文件流中。但那是另一个问题。
许多 Windows 更新/安全更新无法安装。
它在路由器的 DMZ 上运行没有防火墙的 RRAS。在我获得应运行的服务列表之前,我无法启用它。
这垃圾邮件问题:
Exchange 会抛出反向散射/NDR 垃圾邮件,我使用一些传输规则修复了这个问题。我有“如果电子邮件来自外部并发往外部,则默默丢弃它。”以及“如果电子邮件发往外部且主题包含‘无法送达:’,则默默丢弃它”。
我尝试按照各种指南“禁用开放中继”,但其中许多指南都建议删除所有连接器上 NT AUTHORITY\Anonymous 帐户的“接受所有收件人”权限。然而,这会导致所有传入邮件失败。这是正常的吗?这似乎只应该禁用通配符/随机生成的用户名。
某个用户被入侵并发送垃圾邮件。我禁用了他的邮箱。这些邮件不再显示。(我们给他打电话[电子邮件保护])
剩下的是大量在 Active Directory 中不存在的随机用户。([电子邮件保护],[电子邮件保护],[电子邮件保护]...每分钟数百个)
我已打开网络登录日志记录。([电子邮件保护]正在发送垃圾邮件以登录但失败了。确实有几个其他用户尝试登录,但不清楚他们是被入侵了还是只是正常活动。)
所以我需要做的是:
找出答案:什么是确保您不是开放中继同时仍允许传入邮件的正确方法?
查明我是否可以限制仅从有效的 AD 用户地址(和/或我们运行的其他自定义服务/程序的硬编码地址)发送电子邮件。
了解如何追踪是什么命令 Exchange 发送这些电子邮件。有没有办法追踪是谁发送的?
例如,在消息队列中(由于其他人的垃圾邮件阻止了我们仅保存了两天的电子邮件,因此有大约 180,000 条消息在等待)显示此电子邮件:
身份:myservername\368722\5834167
主题:当前空缺职位
互联网消息 ID:<0CDA6CACCF886A682B2C6E3DDAB080C1@xizyrafo>
发件人地址:[电子邮件保护]
状态:就绪
大小 (KB):2
消息源名称:SMTP:客户端服务器名称
源 IP:204.248.123.228
安全级别:0
收到日期:2016 年 1 月 23 日下午 2:57:20
到期时间:2016 年 1 月 25 日下午 2:57:20
上次错误:
队列 ID:servername\368722
收件人: [电子邮件保护]
有没有办法利用这些信息来追踪它的来源/发送者?
我试图弄清楚源 IP 的含义(它是发送到的 IP 还是请求发送者的 IP),但我读到的任何内容都没有真正解释它。
答案1
不要浪费时间寻找源头。它将成为另一个受害者。垃圾邮件发送者将拥有一个他们正在使用的受感染机器网络。您应该做的第一件事是应用密码策略并强制每个人更改密码。确保您也更改管理员密码,因为这是最容易被滥用的帐户。
接下来,在接收连接器上,确保未启用外部安全。如果启用,则表示您处于开放中继状态。可以通过安装反垃圾邮件过滤器,然后启用收件人过滤来处理 NDR 垃圾邮件。
进行上述任何更改后,重新启动 MS Exchange Transport 并运行 IISRESET。
我会做一些 telnet 测试来确认该机器是否仍然是开放中继。
但是接下来你需要做的是构建一台替换机器。这台机器已经被攻破,即使使用你找到的工具也无法信任它。构建一台新机器,使用 Exchange 2007 SP3 介质安装它,然后修补它。无法在机器上安装更新这一事实表明它已经严重损坏。将内容从旧机器上移出,然后删除 Exchange 并擦除它。如果你没有备用机器,请使用高性能工作站作为备用机器,以便你可以重建原始机器。
一旦垃圾邮件不再出现,许多黑名单就会将您从列表中删除。作为临时措施,您可以通过 ISP 的 SMTP 服务器作为智能主机发送邮件。但在开始使用之前,您需要清理服务器,否则您的 ISP 可能会将您踢出他们的服务。