Mi exchange 2003 sigue haciendo envio de SPAM aun con la config de relay correcta
Daniel Torres Hernández
Tengo un server exchange 2003 al cual hace unos d�as empec� a recibir avisos
de que estaba mandando spam, revise las opciones de relay y hab�a un par de
direcciones IP agregadas, no se como se agregaron pero ah� estaban, solo yo
administro este server.
Las quite inmediatamente y revise las opciones de relay del smtp y del
conector smtp, ambos casos estaba correcto.
Borre los mensajes de las colas y pens� que ya hab�a quedado resuelto.
Hoy que me fijo tengo una cantidad enorme de mails en las colas, hay una
cola que es 112.org, en esta todos los mensajes son de postmaster, y asi
como los borro se siguen apareciendo miles.
Active el recipient filtering en la mensajeria y en el SMTP pero aun asi
siguen apareciendo miles de correos de postmaster.
En otras colas como la de yahoo.com ah� tengo igual cientos de correos de
spam, que as� como borro siguen apareciendo, incluso con el smtp en pausa,
los correos casi todos son del sender Mr. Ricardo Lewis
<imf_fu...@112.org>, no entiendo como est�n cayendo tantos correos!
Alguien sabe a que se debe?
Mil Gracias de antemano!
Saludos!!
Daniel Torres
Mexico
Bryan Calderon M.
wrote:
> Hola!
>
> Tengo un server exchange 2003 al cual hace unos d as empec a recibir avisos
> de que estaba mandando spam, revise las opciones de relay y hab a un par de
> direcciones IP agregadas, no se como se agregaron pero ah estaban, solo yo
> administro este server.
>
> Las quite inmediatamente y revise las opciones de relay del smtp y del
> conector smtp, ambos casos estaba correcto.
>
> Borre los mensajes de las colas y pens que ya hab a quedado resuelto.
>
> Hoy que me fijo tengo una cantidad enorme de mails en las colas, hay una
> cola que es 112.org, en esta todos los mensajes son de postmaster, y asi
> como los borro se siguen apareciendo miles.
>
> Active el recipient filtering en la mensajeria y en el SMTP pero aun asi
> siguen apareciendo miles de correos de postmaster.
>
> En otras colas como la de yahoo.com ah tengo igual cientos de correos de
> spam, que as como borro siguen apareciendo, incluso con el smtp en pausa,
> los correos casi todos son del sender Mr. Ricardo Lewis
>
> Alguien sabe a que se debe?
>
> Mil Gracias de antemano!
>
> Saludos!!
>
> Daniel Torres
> Mexico
http://www.eseutil.net/blog/las-colas-de-smtp-estn-llenas-con-mensajes-a-postmaster
Slds,
Bryan Calderón M.
Daniel Torres Hernández
Ya me habia dado una vuelta por el blog de pablo y active el recipient
filter como ahi lo marca, tambien verifique mis opciones del relay del SMTP
y del conector, ambos están bien, ya no se de donde se me esta metiendo el
spam, verifique la prueba del abuse.net y el resultado es:
Relay test result
All tests performed, no relays accepted.
subi una imagen de las colas a http://www.creativeplanet.com.mx/scam.gif,
estan incrementando a cada momento, no se
como se esta generando!
Ya active el log para que vea si es algun usuario pero no se genera el
evento 1708, lo que hice fue:
Determine whether an authenticated user is relaying
This section enables logging in the Windows Event Viewer such that any
authentication attempts against the SMTP service (successful or failures)
are logged in the application log.
Start Exchange Administrator.
Double-click Servers.
Under Servers, right-click ServerName, and then click Properties.
Click the Diagnostic Logging tab.
Click MSExchangeTransport on the left.
On the right, click SMTP Protocol.
Under Logging Level, click Maximum.
Click OK to close Server Properties.
If a remote user is authenticating against the Small Business Server
computer as part of an operation to relay SMTP e-mail, you will see an event
that is similar to the following in the application log:
Event Type: Information
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 1708
Date: 8/13/2003
Time: 10:13:24 AM
User: N/A
Computer: SERVER
Description: SMTP Authentication was performed successfully with client
remote_computername. The authentication method was LOGIN and the username
was company\username.
Pero nada, los mails siguen multiplicandose y el rendimiento del servidor
esta muy afectado, ojala alguien sepa que puedo hacer porque si no tendre
que reinstalar el servidor.
Sera alguna vulnerabilidad? habra algun fix?
Saludos!!
Vi en un docto de ms
"Bryan Calderon M." <bryanc...@gmail.com> escribió en el mensaje de
noticias:dc2216b2-d0b1-4a1d...@u31g2000pra.googlegroups.com...
Bryan Calderon M.
wrote:
> Muchas Gracias Bryan!
>
> Ya me habia dado una vuelta por el blog de pablo y active el recipient
> filter como ahi lo marca, tambien verifique mis opciones del relay del SMTP
> y del conector, ambos están bien, ya no se de donde se me esta metiendo el
> spam, verifique la prueba del abuse.net y el resultado es:
>
> Relay test result
> All tests performed, no relays accepted.
>
> noticias:dc2216b2-d0b1-4a1d-9a93-dac6f8733...@u31g2000pra.googlegroups.com...
>
> > Slds,
>
> > Bryan Calderón M.- Ocultar texto de la cita -
>
> - Mostrar texto de la cita -
Con todo gusto Daniel, esta un poco extraño el tema.....arriba veo que
comentas que la mayoria de los correos el sender es "Ricardo Lewis",
este usaurio es valido??? de ser asi ya se descarto que la pc de este
usuario no este infectada de virus o alguna otra en el dominio???
Slds.
Bryan Calderón M.
Daniel Torres Hernández
pero no existe en esta organización, el mail del sender no tiene nada que
ver con mi dominio.
Hice un procedimiento para purgar las colas del conector smtp
http://support.microsoft.com/kb/324958/es#6 y de manera impresionante se
están acumulando mas de 1000 mails cada 10 minutos, llevo mas de 400,000 y
siguen creciendo, no veo como se están generando tantos, esto esta muy
extraño!!
Alguna recomendación?
"Bryan Calderon M." <bryanc...@gmail.com> escribió en el mensaje de
noticias:d906648f-0c23-4a5c...@g34g2000pro.googlegroups.com...
Bryan Calderon M.
Network Monitor o Wireshark, asi se podria identificar de que IP estan
llegando estos ataques de spam y de repente podriamos tomar las
medidas del caso.
Slds,
Bryan Calderón M.
Bryan Calderon M.
posees, si tienes ISA Server o no, DMZ, etc.
Slds,
Bryan Calderón M.
Daniel Torres Hernández
tenemos un firewall fortinet 100a, verificare el monitoreo y bloqueare
cualquier ip que pueda estar metiendo trafico.
Alguna otra recomendaci�n?
Mil Gracias!!
"Bryan Calderon M." <bryanc...@gmail.com> escribi� en el mensaje de
noticias:80869c05-6fb7-429e...@k17g2000pro.googlegroups.com...
> Tambien si puedes describir un poco mejor la infrastructura que
> posees, si tienes ISA Server o no, DMZ, etc.
>
> Slds,
>
> Bryan Calder�n M.
>
Bryan Calderon M.
realizar primero estas pruebas para ver como nos va.
Slds.
Bryan Calderón M.
danie...@gmail.com
> Perd�n por contestar hasta ahora Bryan, voy intentar lo que me comentas,
> cualquier ip que pueda estar metiendo trafico.
>
>
> Mil Gracias!!
>
>
> "Bryan Calderon M." <bryanc...@gmail.com> escribi� en el mensaje de
> > Tambien si puedes describir un poco mejor la infrastructura que
> > posees, si tienes ISA Server o no, DMZ, etc.
> >
> > Slds,
> >
> >
Daniel torres.
Tengo exactamente el mismo problema que tu, veo que lo tuyo fue hace 2 años, pero tambien se me repite el señor "lewis"
Finalmente que hiciste para solucionarlo?
Muchas gracias de antemano.