Tja..
Jag har ett nät som det skickas spam ifrån
Det är Exchange 2003ent på en win 2003 std som back end server
Samt exchange 2003std på en win 2003 std server som front end.

Mailen kommer idag till port 25 på brandväggen o reläas in direkt mot brandväggen.
Detta skall ändras så det går mot FE servern senare.

Men hur som helst... det skickas spam ifrån BE servern.

Och om jag kör en telnet utifrån eller innifrån mot den så säger den så fint så
mail from:kalle@anka.com
250 2.1.0 kalle@anka.com....Sender OK
rcpt to:tr@tr.com
550 5.7.1 Unable to relay for tr@tr.com

Så allting ser ju rätt ut.
Så jag började fundera på om det kan vara admin kontot. för det hade ett helt uselt lösenord, så jag ändra men icke. Jag vet att det finns konton på domänen som har blanka lösenord. Men är det troligt att det är ifrån nått av dessa som det skickas? jag menar hur skall dom kunna komma över kontonamnen o sen skicka spam? men det är ju möjligt så...

Hur som helst. så testade jag sedan att skicka ett till mail via telnet men skrev då så här istället
mail from:kalle@anka.com
250 2.1.0 kalle@anka.com....Sender OK
rcpt to:tr@tr.com
550 5.7.1 Unable to relay for tr@tr.com
rcpt to:gunnar.se
250 2.1.5 gunnar.se@mindomän.se
data
354 Start mail input; end with <CRLF>.<CRLF>

alltså skrev jag ingen domän och den la automatiskt till domänen
Men kan man lura exchangen på sådant sätt att den tror att man skall skicka det internt men att det sedan skickas ut externt???? för när man kollar i bad mail filerna sedan så ser det ut som att man skickar det internt. ja titta själva

From: postmaster@mindomän.se
To: sarcophagus8@yahoo.com
Date: Wed, 26 May 2004 10:08:21 +0200
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C4383E32A2CF380002C036bifrost.ekero.se"
X-DSNContext: 335a7efd - 4446 - 00000001 - 80040546
Message-ID: <Tfbgqmp4z00013122@bifrost.mindomän.se>
Subject: Delivery Status Notification (Failure)

This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.

--9B095B5ADSN=_01C4383E32A2CF380002C036bifrost.ekero.se
Content-Type: text/plain; charset=unicode-1-1-utf-7

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

jsperry@mindomän.se

I loggen för smtp så kan man hitta detta men det säger mig inte så mycket mer än att det tydligen går att reläa ut mail
2004-05-26 10:54:07 81.228.10.120 OutboundConnectionResponse BIFROST - SMTP - - -
2004-05-26 10:54:07 67.18.115.90 67.18.115.90 BIFROST 172.16.1.9 SMTP - - -
2004-05-26 10:54:18 81.9.137.77 cmr-81-9-137-77.telecable.es BIFROST 172.16.1.9 SMTP - - -
2004-05-26 10:54:18 172.16.1.9 bifrost BIFROST 172.16.1.9 SMTP - - -
2004-05-26 10:54:18 172.16.1.9 bifrost BIFROST 172.16.1.9 SMTP - - -
2004-05-26 10:54:18 172.16.1.9 bifrost BIFROST 172.16.1.9 SMTP - - -
2004-05-26 10:54:18 65.54.166.99 OutboundConnectionResponse BIFROST - SMTP - - -
2004-05-26 10:54:18 65.54.166.99 OutboundConnectionCommand BIFROST - SMTP - - -
2004-05-26 10:54:18 65.54.166.99 OutboundConnectionResponse BIFROST - SMTP - - -


Så är det någon som har nått tips om hur man skall få stopp på detta???????


//

Tommy Clarke
InfraSystems Solutions

Hej!

För att vara säker på att ingen använder ett konto för att authentisera sig och sedan skicka mail så kan du stänga av den funktionen. Välj properties på din vituella SMTP server som svarar mot internet, tryck på Relay under fliken "Access" och kryssa bort "Allow all computers which sucessfully authenticate to ralay, regardless...."

Detta kan iförsig skapa problem om du har användrae som använder sig av POP3 eller IMAP4, men vet du vilka det är så kan du lägga till just de användarna genom att trycka på knappen "Users" eller om de ha fasta IP:n så kan du öppna relaying för dessa.

Mvh Emil Linder
Humandata AB

Hej!

För att vara säker på att ingen använder ett konto för att authentisera sig och sedan skicka mail så kan du stänga av den funktionen. Välj properties på din vituella SMTP server som svarar mot internet, tryck på Relay under fliken "Access" och kryssa bort "Allow all computers which sucessfully authenticate to ralay, regardless...."

Detta kan iförsig skapa problem om du har användrae som använder sig av POP3 eller IMAP4, men vet du vilka det är så kan du lägga till just de användarna genom att trycka på knappen "Users" eller om de ha fasta IP:n så kan du öppna relaying för dessa.

Mvh Emil Linder
Humandata AB

Ehm men vad händer med alla dom som försöker skicka mail via sin vanliga outlook klient dådå??
Då blir väll dom nekade att skicka eller?

Ja, dom nekas om dom använder SMTP för att skicka, normalt använder dock Outlook RPC när den är ansluten till en Exchange-servern. Du kan dock på Exchange 2003 välja exakt vilka användare som skall få lov att relaya, dvs du kan skapa en speciell grupp för dom som verkligen behöver relaya (ex hemifrån). Kolla annars på Diagnostic Logging på din server i Exchange System Manager och skruva upp loggnivån på MSExchangeTransport->Authentication så ser du vilka konton som används för relay.

Fast är det någon som kan svara på hur fan det kan reläas ut massa spam även fast det är igentäppt och jag får 550 5.7.1 Unable to relay for fr@de.se om jag försöker telneta mot den.

//Tommy

Det du ser i badmail foldern är mail som exchange inte kan skicka någonstans.
Det klassiska är att spamaren skickar ett brev till din server som är till din domän, allt i sin ordning.
När sedan exchange inte lyckas hitta en brevlåda med den SMTP addressen så skapar exchange ett NDR mail till avsändaren. problemet är att avsändaren är påhittad och inte existerar så exchange vet inte vad den ska göra av mailet, altså dumpas det till badmailfoldern.

Det är sådant brev som du listat.

/Lasse Pettersson
Humandata