И снова про relay в MS Exchange 2000

[cryman]

Доброго времени суток!

Какие-то непонятки с сабжем. Торчит в инет виртуальный сервер Exhchange2K. На сколько я представляю, SMTP настроен корректно: Anonymous access разрешён, включена Basic authentication, relay разрешён только аутентифицированным пользователям. Telnet на 25 порт с последующей попыткой ручного релея вполне адекватно посылает куда подальше. Отправка почты через него работает только по логину-паролю. На первый взгляд, красота. И самое интересное что всё работало достаточно долго без нареканий. Но не так давно в логе стало появляться следующее:
"EHLO -?+microsof-9dlveu SMTP" 250 294
"MAIL -?+FROM:<test@yahoo.com> SMTP" 250 39
"RCPT -?+TO:<user2@989888.com> SMTP" 250 29
Для справки, домен у меня совсем не 989888.com
При этом есть и такое:
"HELO -?+dreamwiz.com SMTP" 250 43
"MAIL -?+from+:+<dldbsrudgjwn@dreamwiz.com> SMTP" 250 50
"RCPT -?+to+:+<dnpqelffj@hanmail.net> SMTP" 550 53
Иными словами, подозреваю что есть какой-то путь несанкционированного релея. Отключаю анонимный аксцесс - вроде бы как пропадают такие записи. Хотя не уверен - ибо крайне редко пока что пользуются.

Не подскажет ли многоувожаемый all, как бы это порешать? Отключать анонимуса не предлагать - почту-то принимать надо.

Заранее спасибо.

[a_shats]

SP3, Rollup patch 6487.1 - установлены ?

[cryman]

Ну я на счёт Rollup patch не особо уверен, но sp3 и пара хотфиксов стоят. И, что главное, Microsoft Baseline Security Analyzer 1.2 счаслив до умопомрочения (он уже умеет проверять патчи и на Exchange) тоже, из чего я делаю вывод, что всё что есть - уставновлено.

[a_shats]

А после всего этого в логе DATA попадает ?
А то получается - дыра какая-то именно в авторизации.
А Rollup Patch - как раз содержит все security обновления. И - он довольно свежий.

[cryman]

Да, поле data присутствует. И самое интересное, что письмо дальше уходит (у меня исходящая через смартхост идёт).
Секурити роллап завтра посмотрю. Но сдаётся мне, что аналайзер должен был ругнутсья, если бы не обнаружил чего-то. А так молчит.

[cryman]

Уточненеи: Rollup patch установлен. q824282.

[fedoz]

вобще многие люди не рекомендуют выставлять в интернет exchange
, вполне возможно что просто повесили какую нить гадость на машину , можно конечно ей попробовать найти .... а еще проще повесить в инет какой нибудь релей на freebsd , внутри exchange снаружи freebsd , для фрибсд особо сильная машинка не нужна достаточно п133 да опер 32 мега + гиг hdd

[LowNoise]

Столкнулся с той же ситуацией (Exch2k, SP3) , Rollup 6487.1 еще не был установлен. Установка патча не помогла.

Cryman, Вам удалось справиться с проблемой?

[Dimon78]

Посмотреть поиск домена по Hello / Ehlo
Поиск по PTR
Поиск по полю Mail from
Но это мое личное соображение.

Я согласен с Fedoz. Поставить MDaemon , Ldap к нему, Groupware если есть аутглюк .

Может не в тему сказано:

Зайти на ORDB.org и попросить проверить ваш IP, они там разными способами проверяют

Я таким методом пару дыр закрыл