Вопрос или проблема
Я использую Exchange Server 2019 15.2. Кто-то отправляет спам через него. Я убедился, что приемный коннектор ‘Default Frontend’ не позволяет анонимные подключения, но, похоже, это не работает, и я не знаю, на что еще обратить внимание. Когда я смотрю в очередь, я все еще вижу сообщения, ожидающие отправки, такие как это (обратите внимание, что адрес отправителя пуст):
Идентификатор: Email2\347358\105106439667717
Тема: Неполучено: Откройте для себя наши эксклюзивные люксовые часы. Покупайте сейчас всего за $250
Идентификатор интернет-сообщения: c9947c19-c8c6-43bf-abf0-80d534a01442@xxxxxxxxxxxx
Адрес отправителя: <>
Статус: Готов
Размер (КБ): 11
Источник сообщения: DSN
Исходный IP: 255.255.255.255
SCL: -1
Дата получения: 24.12.2024 4:15:32 AM
Время истечения: 26.12.2024 4:15:32 AM
Последняя ошибка:
Идентификатор очереди: Email2\347358
Получатели: [email protected];2;2;[{LED=};{MSG=};{FQDN=};{IP=};{LRT=}];0;CN=Outbound to Internet,CN=Connections,CN=Exchange Routing Group (DWBGZMFD01QNBJR),CN=Routing Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ChartMeds,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=internal,DC=xxxxxxxxxx,DC=com;0
Как я могу разобраться с этим?
Ответ или решение
Как устранить спам-рассылку через Exchange Server 2019
Если ваш Exchange Server 2019 используется для рассылки спама, это может создать серьезные проблемы, включая блокировки со стороны интернет-провайдеров и негативное влияние на репутацию вашей организации. В этом руководстве мы рассмотрим шаги по устранению данной проблемы.
1. Проверка настройки соединителей
Поскольку вы уже проверили, что соединитель ‘Default Frontend’ не разрешает анонимные подключения, вы можете рассмотреть другие потенциальные уязвимости. Убедитесь, что следующая информация также проверена:
- Параметры безопасности: Убедитесь, что соединитель не неправильно настроен и что для него установлены правильные правила аутентификации.
- Другие соединители: Возможно, у вас есть другие соединители, которые допускают анонимные подключения. Проверьте настройки всех соединителей и убедитесь, что ни один из них не позволяет несанкционированный доступ.
2. Анализ сообщений в очереди
Из предоставленной вами информации видно, что в очереди есть сообщения с пустым полем "From Address". Это может указывать на использование уязвимостей в Exchange Server или попытки отправки через неправильно сконфигурированные почтовые клиенты.
- Проверка содержимого очереди: Убедитесь, что в очереди нет подозрительных сообщений. Если вы обнаружите их, возможно, стоит удалить их из очереди, использовав команду PowerShell:
Get-Queue | where {$_.MessageCount -gt 0} | Remove-Message -Confirm:$false
3. Логи и отчеты
Рекомендуется проверить логи Exchange для определения источников связанных с отправкой спама:
-
Логи SMTP: Найдите Логи SMTP на вашем сервере. Они помогут увидеть, откуда приходит трафик и какие учетные записи используются для отправки.
Логи можно найти по следующему пути:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\ProtocolLog\Smtp
-
Проверка на аномалии: Ищите записи, которые могут указать на подозрительную активность, например, анонимные отправки или нестандартные авторизованные IP-адреса.
4. Настройки антивируса и антипочтовой спам-фильтрации
Убедитесь, что ваш антивирусный и антипочтовый фильтры настроены и работают корректно:
- Фильтры спама: Настройте фильтры, чтобы они блокировали подозрительные сообщения, особенно с пустым полем "From".
- Обновления баз данных: Убедитесь, что ваше антивирусное программное обеспечение и фильтры спама обновлены до последней версии.
5. Удостоверение учетных записей
Проверьте, какие учетные записи активны в системе, и убедитесь, что они все легитимны:
- Изменение паролей: Если есть подозрительные учетные записи, желательно изменить их пароли как можно скорее.
- Двухфакторная аутентификация: Настройте музыку двухфакторной аутентификации для повышения безопасности.
6. Мониторинг и предупреждения
Используйте инструменты мониторинга для отслеживания активности на сервере. Установите оповещения на случай подозрительной или аномальной активности:
- Системы мониторинга: Разработайте или внедрите решение для мониторинга, которое будет автоматизированно оповещать вас о подозрительной активности.
Заключение
Лучший способ предотвратить подобные инциденты в будущем — это создание политики безопасности и мониторинга. Постоянное отслеживание активности на вашем Exchange Server, а также настройка правильного уровня безопасности помогут обеспечить защиту вашей почтовой системы от спама и несанкционированного доступа.