Спам из корпоративной почты во внешний мир
 

Добрый день!

Подскажите как и куда копать - позвонил провайдер и сказал что с наших корпоративных ящиков рассылается спам. Ругаются, блокируют ящик.
Проверяла на вирусы - ничего не находит.
Сменить пароль на Microsoft Exсhange не дает.
Отключила outbound email - не помогает.
Это корпоративная почта, со своим доменом. Что делать?

первый и главный вопрос: открыт ли исходящий траффик TCP 25 кому-то, кроме Exchange Server на корпоративном файрволле?
Второй и тоже главный вопрос: проверьте свой сервер на Open Relay. Например тут: http://mxtoolbox.com/diagnostic.aspx
А это что такое и какое отношение имеет к данной проблеме?
"Не ссать!" © Поможем.

файрволла нет, 25 порт открыт, наверное всем...так что полный open relay)))

Я имела ввиду пароль от учетки почты.

Обычно это основная проблема в малых предприятиях. Сценарий прост до одури: кто-то из внутренних товарищей поймал троян и тот, найдя открытый порт 25, начал слать тонны спама. И основные проблемы еще впереди. Кроме претензий от провайдера, ваш внешний IP с очень высокой долей вероятности окажется почти во всех RBL (Real-time Block List) мира. Т.е. даже легитимную почту от вашего Exchange будут посылать... ну сами понимаете куда.
Что делать: у вас в любом случае стоит маршрутизатор на границе сети, не важно какой он, принцип один и тот же для всех: ЗАКРЫТЬ ИСХОДЯЩИЙ SMTP ДЛЯ ВСЕХ, КРОМЕ ХОСТА С EXCHANGE!!! (очень хочется зажать клавишу "!"). Как это проделать на вашем маршрутизаторе - зависит от маршрутизатора.
Да, смена пароля от почтовой учетной записи вряд ли поможет, т.к. она, скорее всего и не используется. Посмотрите в Message Tracking Center в консоли Exchange System Manager - много ли сообщений уходит через него? Думаю, что немного, ибо зачем городить огород, если есть напрямую доступный канал SMTP?

Ок, тогда возникают следующие вопросы:

как искать троян? (уже проверяла авирой и dr. web cureIT все компы)
какой файрвол лучше поставить? и как настроиить?
нет пароля от маршрутизатора - главный админ уехал в отпуск.. (а где бабуля? - я за нее..;))
самый глупый вопрос - Message Tracking Center - тыкните носом, не могу найти.

некоторые подозрительные рассылки есть и логи, картинки в аттаче.

и? микроскопом рассматривать, что ли?

звоните, пишите, но пароль добудьте.

промониторить пакеты, приходящие на ваш почто-сервер, при помощи, например, WireShark. Там явно пишется, кто заходил, откуда, и что отправлял (примерно). Решение "в лоб" - отключть от сети подозрительных, если спам прекратится - шерстить их вплоть до переустановки

форум не дает загрузить большие пикселястые картинки

Так все-таки - что проще? поставить файрвол или искать троян? Вчера, например, если отключать порты не особо важные и нужные, например 31285, которые мониторят спамеры, вообще была дос-атака на порт прокси 8080 и отключился интернет.
С помощью программки сurrport.exe нашла те удаленные айпи адреса, которые шлют спам, при попытке остановить процесс по тср 25 - они множаться и подключаются к другим портам.

Проще и правильнее поставить файрвол (или настроить access list на маршрутизаторе), если клиентам внутренней сети будет запрещено устанавливать ТСР-соединения на 25 порт внешних серверов - троян не сможет работать.
Плюс обязательно проверьте свой сервер на Open Relay. Проблема может быть и в этом. Проверить либо онлайн-сервисом (ссылка выше в треде), либо вот так: http://support.microsoft.com/kb/324958
Там же описано, как закрыть.

Помогло! Разобралась в настройках!
Ну и проверила еще на шпионы, пару странных удалила и... все работает!!!

Всем спасибо за помощь и поддержку в этом деле!

Думаю, что для корпоративной почты выход один - настроить какой-нибудь платный антиспам, который бы работал, прогоняя почту через свой сервер-фильтр. например, спамзащита Флайнет. Если провайдер стаит перед фактом, нужно действовать быстро, а настраивать вручную самому спам-фильтры, спамассасин и прочее трудоъемко. Также перед этим нужно проверить и почистить все машины, видимо, на какой-то завелся вирус.

У меня та же проблема. Сегодня почистил 74000 писем, весь день убил. Вроде закрыл relay по инструкции http://support.microsoft.com/kb/324958, кроме компов из подсети (КД по IP 1.2 и подсеть 255.0).
Теперь Event ругается, что по SMTP достигнуто максимально количество подключений (выставил 100), хотя щас ночь и непонятно вообще кто коннектится. Пробовал по этой инструкции http://support.microsoft.com/kb/324958#3 - там только я и по моему VPN до офиса аутентифицируется.

Вот скрин
Что за коннекты? 217 IP - мой внешний.