Bilişim Güvenliği
Şirket Mail Serverı Üzerinden Nijeryalı IP Heryere Mail Gönderiyor
Şirket Mail Serverı Üzerinden Nijeryalı IP Heryere Mail Gönderiyor
-
Hocalar bi arkadasın sysadmin olduğu firmadayım
Burada exchange server kullanılıyor ve ortalığa mail saçılıyor.
Önceden merak mail vs kullandım exchange hic kullanmadım. anladığım kadarını yazayım fikri olan varsa sewinirim.
1) Trafigi logladım mail disardan gelior default credientiallar ile dışarı mail basıyor.
2) Open relay açık değil
3) SMTP de anonymous authentication açık fakat bunu kapatırsam dışardan mail gelmior
4) dışardan smtp gönderen bi program yazdım dolayısıyla aldığım önlem calisiormu calismiormu hemen görebiliorum ama ne yapsak ya kimse mail alamıyor yada dışardan mail gelior
5) IP banla demeyin IP ve mail adreslerine filter koyyoz baska iplerden gelmeye devam ediyor.
Open relay olmadığı halde adeta acikmis gibi. yada bos sifreyi kabul ediormus gibi
varmı fikri olan?
-
usta bende bilmiyorum bunu ama belki işine yarar sandığım bir makaleyi paylaşmak istedim.
http://technet.microsoft.com/en-us/library/aa996446%28EXCHG.65%29.aspx
http://technet.microsoft.com/en-us/library/bb123843%28EXCHG.65%29.aspx
-
Şirket içimi gönderiyor yoksa heryeremi mail atıyor?
Şuraya bir bakarsan belki faydası olur..
http://www.petri.co.il/preventing_exchange_2000_2003_from_relaying.htm
yada
http://www.vamsoft.com/orf/authattack.asp
bu arada
normalde exchange de smtp authentication'da kapatılır, yani dışarıdan smtp auth. ile bağlanıp relay yapılması engellenebilir
söyle bir durum olabilir pm leyim..
-
su olabilir üstad..
ttnet gibi bir durum vardır
yani adam içeriden bir auth. bulmuş ve onunla smtp auth. yapıp dışarıya mail yolluyordur,bence bir kullanıcının cred.'ini kullanıyor
open relay testini mxtoolbox'dan yap istersen,birde bunun gibi durumları önlemek için hep ön tarafa postfix koyarsan
oradan relay yaparsın içeriye katıdır ama kesin çözüm... -
name space mining olayı. mx kaydını değiştirmiştim ben. Icewarp vardı bizim firmada. o şekilde aşmıştım. Ayrıca şu da var, acaba bu olayda isimle mi çözüyor. isimse sıkıntı hele exchangede cok buyuk sıkıntı sertifika vs vs. Hocam ip banlamak yerine eğer uluslararası bir firma degilse ulke blogunu banla? Excghangete bunun olması cok garip.
-
Hocalar relay kapalı relay penceresinde sorun yok yani aşşağıdaki gibi
Aşşağıdaki kodla çatır çatır şifresiz bu server üzerinden mail atabiliyorum ( Şirket dışında herhangi bir IPden)
System.Net.Mail.SmtpClient c = new System.Net.Mail.SmtpClient("SunucumunIPAdresi");
System.Net.Mail.MailMessage m = new System.Net.Mail.MailMessage( "kimden@hotmail.com", "kime@hodomail.com");
c.UseDefaultCredentials = true;
c.Send(m);Herhangi bir user ve pass ile olmuyor ama bu sekilde kabul edior.
Bu exchangein biyerinde ayar varmıdır? dışardan sadece xxx.com domainine gelen mailler alınsın gerisi reject olsun, dışarı gönderilmesin gibi bişey?
-
SMTP authorization ı şifreli yap hoca...
-
Son durum ne haci, olay tamamen smtp authentication da bitiyor.