iT邦幫忙

0

Mail Server是Windwos Exchange Server 2007 pop3收信,smtp寄信
每隔約一個月就會被當跳板寄一堆垃圾郵件出去
發現的時間總是在信寄出去後被退回,內容寫...block list....
到這個網站一查,http://multirbl.valli.org/lookup/
被好幾十個組織列為黑名單,每個都去解除後,過一陣子郵件才能暢通
請問有什麼辦法可以找出被當跳板的原因,是不是Server中了木馬
如果是使用者的密碼被算出來,或使用者的電腦中了木馬,能抓出是哪一個帳號嗎?
以及日後要怎麼預防及杜絕?
請各位大大指點指點,謝謝

slime iT邦大師 1 級 ‧ 2012-02-16 23:47:44 檢舉
建議先用郵件追蹤或郵件發送記錄統計. 看看發送與接收的記錄, 才好評估是否真的有濫發.

另外很多業者會使用相同的 Black List , 建議看看該 Black List 的標準. 因為 ISP 只是引用 Blask List 的資料.
因為
http://www.ublink.org
文章編號變動過了
所以請改用主旨搜尋
Thank you
8
門神JanusLin
iT邦超人 1 級 ‧ 2012-02-17 10:09:20
最佳解答

給你參考

使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay
http://www.ublink.org/index.php/component/content/article/10-ubs-switch/285-ubs-5008-8port-switchport-mirrorwirsharksmtprelay.html

使用UBS-5008 8 port Giga switch的port mirror功能抓出Mail Server被Relay大量灌信的兇手
http://www.ublink.org/index.php/component/content/article/10-ubs-switch/245-ubs-5008-8-port-giga-switchport-mirrormail-serverrelay.html

如何在三分鐘內找到被Relay的帳號
http://www.ublink.org/index.php/component/content/article/13-apps/85-mail-god-relay-find.html

會那一就用那一個

6
CalvinKuo
iT邦大師 7 級 ‧ 2012-02-17 10:09:30

經驗參考,不一定合用...
之前Excahnge 2003也是被當跳板,被塞了幾萬封信到Queue。查了當時安全性 Log發現不正常登入的使用者,一問之下是該使用者密碼設定太簡單,又有開POP3登入被秒破(已經設了五次登入失敗鎖30分鐘)。

當時用這個黑名單檢查,再一個個申請...
http://whatismyipaddress.com/blacklist-check
但最後還是有沒解的.... GMail,因為沒辦法等自動解鎖,最後換Server IP才解決。

ryanfon iT邦新手 5 級 ‧ 2012-02-17 16:45:08 檢舉

iT邦幫忙MVPcalvinkuo提到:
安全性 Log

請問安全性的log到哪裡查?

2
jason1966
iT邦新手 1 級 ‧ 2012-02-19 13:00:03

個人工作經驗:
有些公司的郵件主機,允許使用者從網際網路直接連回來發送郵件。
這是很不好的設定,就算你有設定認證,還是有不小的機會被有心人士破解。
強烈建議關掉這樣的設定,讓使用者經過VPN 連回公司,或是使用公司的web mail 這樣比較安全

我要發表回答

立即登入回答