Urządzenie do walki ze SPAMem

[stentor]

Witam,

jest microsoft exchange 2010 trapiony SPAMem - domena notorycznie jest blokowana przez serwisy antyspamerskie.

Jak się z tym uwikłać? Czy jest urządzenie dedykowane do walki ze SPAMem dla Exchange?

Pozdro

[saiqard]

Witam,

jest microsoft exchange 2010 trapiony SPAMem - domena notorycznie jest blokowana przez serwisy antyspamerskie.

Jak się z tym uwikłać? Czy jest urządzenie dedykowane do walki ze SPAMem dla Exchange?

Pozdro

1) Ty atakujesz, czy ktoś Ciebie atakuje? (w zensie Ty dostajesz maile ze spamem, czy je rozsyłasz)
2) Blokowana jest domena, czy adres IP?? bo spotkałem się tylko z blokowaniem IP ze względu na spam.

[stentor]

1) Ty atakujesz, czy ktoś Ciebie atakuje?
2) Blokowana jest domena, czy adres IP?? bo spotkałem się tylko z blokowaniem IP ze względu na spam.

ad.1
Raczej ja SPAMuję

ad.2
i dlatego blokują moje IP (nie domenę - nieprecyzyjnie się wyraziłem).

pozdr

[saiqard]

Czyli wygląda na to, że ktoś dostał się do Ciebie na serwer.

Nie wiem jaką masz polityke haseł na serwerze / w domenie, ale pierwsze co bym zmienił to w zasadach grupy ustawienia złożoności hasła na: powyżęj 12 znaków, małe/duże litery/cyfry/znaki specjalne, zmiana co 30 dni i wymusił zmianę haseł przez wszystkich urzytkowników w trybie natychmiastowym.

Do tego uruchom na serwerach programik: Microsoft Baseline Security Analyze (MBSA), przetestujesz nim bezpieczeństwo serwerów. Usuń wszystkie nieprawidłowości.

Masz jakiś program ochorony antywirusowej + firewall, rotkit i całą otoczka pozostałych zagrożeń?

[saiqard]

Pozatym postprawdzaj kto ma uprawnienia administracyjne na serwerze, oraz czy nie masz kont użytkowników którzy już nie pracują, albo takich ktore mogły "same" się stworzyć. Jeśli takie są, to wyłącz je.

[weis]

Problemem też mogą być zainfekowani użyszkodnicy którzy wysyłają masę SPAMu. W tym momencie akcje na serwerku do niczego się nie przydadzą. Popatrz w logi jakiegoś urządzenia brzegowego kto sieje w sieci po porcie 25

[stentor]

Problemem też mogą być zainfekowani użyszkodnicy którzy wysyłają masę SPAMu. W tym momencie akcje na serwerku do niczego się nie przydadzą. Popatrz w logi jakiegoś urządzenia brzegowego kto sieje w sieci po porcie 25

do portu 25 mam ACLkę, która pozwala tylko serwerowi na wysyłanie po porcie 25.
Pozostały LAN ma zablokowane wysyłanie po porcie 25.

[saiqard]

Sprawdz też w logach na serwrze, jaki urzyszkodnik wysyłą najwięcej maili. jak go zablokujesz, to może problem ustanie.

[stentor]

Sprawdz też w logach na serwrze, jaki urzyszkodnik wysyłą najwięcej maili. jak go zablokujesz, to może problem ustanie.

czasem udawalo mi się takiego szkodnika namierzyć ale już po fakcie
i na niektórych RBLach moje IP byla na czarnej liście przez 7 dni...

pozdr

[saiqard]

Z Twojego serwera mogą wysyłać maile tylko zalogowani użytkownicy?

Zobacz, czy jest możliwość ograniczenia ilości maili wysłanych na minute przez jednego uzytkownika. Bo jak zaczyna się atak to pewnie serwer wysyła po pare tysięcy maili w ciągu minuty, a w czasie normalnej pracy takich ilości nie osiągniesz.

[stentor]

Widziałem gdzieś w necie software'owe, platne pluginy do Exchange servera które właśnie zajmują się tymi problemami.

pytając Was w tym temacie mam na myśli hardware w stylu:
CISCO SPAM and VIRUS blocker
albo coś podobnego dedykowanego.

[weis]

Mi raczej chodziło o to aby ustalić czy to na pewno z serwera są wysyłane niechciane @. Jeśli generują je lokalni użytkownicy to od porządków na ich stacjach trzeba zacząć całą akcję czyszczenia. No chyba że masz użytkowników którzy wysyłają dużo zapytań ofertowych reklam itp. i dlatego trafiasz na black listy.

[Seba]

Masz wylaczony relay?
Jakis blog opisuje jak to zrobic dla Exchange

I pomysl cieplo o Cisco ESA (Email Security Appliance), ale to dopiero po hardeningu serwera.