И снова про relay в MS Exchange 2000

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
cryman
Junior member
Сообщения: 8
Зарегистрирован: 11 дек 2003, 15:53
Откуда: Санкт-Петербург

И снова про relay в MS Exchange 2000

Сообщение cryman » 11 фев 2004, 11:05

Доброго времени суток!

Какие-то непонятки с сабжем. Торчит в инет виртуальный сервер Exhchange2K. На сколько я представляю, SMTP настроен корректно: Anonymous access разрешён, включена Basic authentication, relay разрешён только аутентифицированным пользователям. Telnet на 25 порт с последующей попыткой ручного релея вполне адекватно посылает куда подальше. Отправка почты через него работает только по логину-паролю. На первый взгляд, красота. И самое интересное что всё работало достаточно долго без нареканий. Но не так давно в логе стало появляться следующее:
"EHLO -?+microsof-9dlveu SMTP" 250 294
"MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39
"RCPT -?+TO:<user2@989888.com> SMTP" 250 29
Для справки, домен у меня совсем не 989888.com
При этом есть и такое:
"HELO -?+dreamwiz.com SMTP" 250 43
"MAIL -?+from+:+<dldbsrudgjwn@dreamwiz.com> SMTP" 250 50
"RCPT -?+to+:+<dnpqelffj@hanmail.net> SMTP" 550 53
Иными словами, подозреваю что есть какой-то путь несанкционированного релея. Отключаю анонимный аксцесс - вроде бы как пропадают такие записи. Хотя не уверен - ибо крайне редко пока что пользуются.

Не подскажет ли многоувожаемый all, как бы это порешать? Отключать анонимуса не предлагать - почту-то принимать надо.

Заранее спасибо.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 11 фев 2004, 12:00

SP3, Rollup patch 6487.1 - установлены ?

cryman
Junior member
Сообщения: 8
Зарегистрирован: 11 дек 2003, 15:53
Откуда: Санкт-Петербург

Сообщение cryman » 11 фев 2004, 17:34

Ну я на счёт Rollup patch не особо уверен, но sp3 и пара хотфиксов стоят. И, что главное, Microsoft Baseline Security Analyzer 1.2 счаслив до умопомрочения (он уже умеет проверять патчи и на Exchange) тоже, из чего я делаю вывод, что всё что есть - уставновлено.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 11 фев 2004, 18:31

А после всего этого в логе DATA попадает ?
А то получается - дыра какая-то именно в авторизации.
А Rollup Patch - как раз содержит все security обновления. И - он довольно свежий.

cryman
Junior member
Сообщения: 8
Зарегистрирован: 11 дек 2003, 15:53
Откуда: Санкт-Петербург

Сообщение cryman » 11 фев 2004, 18:56

Да, поле data присутствует. И самое интересное, что письмо дальше уходит (у меня исходящая через смартхост идёт).
Секурити роллап завтра посмотрю. Но сдаётся мне, что аналайзер должен был ругнутсья, если бы не обнаружил чего-то. А так молчит.

cryman
Junior member
Сообщения: 8
Зарегистрирован: 11 дек 2003, 15:53
Откуда: Санкт-Петербург

Сообщение cryman » 12 фев 2004, 11:01

Уточненеи: Rollup patch установлен. q824282.

fedoz
Junior member
Сообщения: 1
Зарегистрирован: 16 фев 2004, 17:12
Контактная информация:

Сообщение fedoz » 01 апр 2004, 17:38

вобще многие люди не рекомендуют выставлять в интернет exchange
, вполне возможно что просто повесили какую нить гадость на машину , можно конечно ей попробовать найти .... а еще проще повесить в инет какой нибудь релей на freebsd , внутри exchange снаружи freebsd , для фрибсд особо сильная машинка не нужна достаточно п133 да опер 32 мега + гиг hdd

LowNoise
Junior member
Сообщения: 2
Зарегистрирован: 16 апр 2004, 19:41

Тот же трабл

Сообщение LowNoise » 16 апр 2004, 19:48

Столкнулся с той же ситуацией (Exch2k, SP3) :(, Rollup 6487.1 еще не был установлен. Установка патча не помогла.

Cryman, Вам удалось справиться с проблемой?

Аватара пользователя
Dimon78
Advanced member
Сообщения: 128
Зарегистрирован: 28 авг 2003, 09:30
Откуда: Vladivostok
Контактная информация:

Сообщение Dimon78 » 19 апр 2004, 12:18

Посмотреть поиск домена по Hello / Ehlo
Поиск по PTR
Поиск по полю Mail from
Но это мое личное соображение.

Я согласен с Fedoz. Поставить MDaemon , Ldap к нему, Groupware если есть аутглюк .

Может не в тему сказано:

Зайти на ORDB.org и попросить проверить ваш IP, они там разными способами проверяют

Я таким методом пару дыр закрыл

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей