Forum

Exchange Server 201...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Exchange Server 2010 Relay ve güvenlik ihlali

4 Yazılar
2 Üyeler
0 Reactions
871 Görüntüleme
(@MuratUYSAL)
Gönderiler: 19
Eminent Member
Konu başlatıcı
 

Merhaba Arkadaşlar,

 

Benim şöyle bir problemim var, şirket bünyesinde Exchange 2010 server kullanıyoruz, Bazı kullanıcılara noreyley@bizimdomainadımız.com yada kendi mail adresinden virüslü doc uzantılı mailler geliyor. Noreplay diye bir kullanıcı Exchange üzerinde yok.

 

Sorun bu iken yapımızı biraz anlatmaya çalışayım.

AD kullanıcısı PC ler dışında, taranan dökümanları mail atan yazıcılar var.
Bu cihazlar şifre bilgisi olmaksızın smtp yi kullanıp mail atabilmekte. Exchange üzerindeki
receive connectors te client connector "Anonymous Users" seçili değil bu işlemi Relay e kapatmak için yapmıştım.
Default Olan connector de ise "Anonymous Users" Aktif Dışarıya mail çıkışı için seçili olması gerektiği için diye biliyorum.

Sunucuda dışarıdan Relay e kapalı. İçeriden yazıcılar üzerinden veya herhangi bir PC üzerinden olan bir durum olabilirmi,
Yardımcı olabilirseniz sevinirim. 

Buda gelen bir mailin üst bilgisi. Bir çıkarımda bulunamadım yardımcı olabilirseniz sevinirim
Buda gönderici client ip adresi

Received: from static-host-96-9-137-5.awasr.om (96.9.137.5) by
benimsrv.benimad.local (192.168.1.1) with Microsoft SMTP Server id
14.3.361.1; Mon, 31 Jul 2017 13:58:17 +0300
From: <[email protected]>
To: <[email protected]>
Subject: Scanned image from MX-2600N
Date: Mon, 31 Jul 2017 14:59:16 +0400
Message-ID: <[email protected]>
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_8055_A4E1DCDC.BCFA1D2B"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: c8467bC61A7CD348AccFE18AAC0da3==
Return-Path: [email protected]
X-MS-Exchange-Organization-AuthSource: benimsrv.benimad.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: benimdomain.com
X-MS-Exchange-Organization-SenderIdResult: Fail
Received-SPF: Fail (benimsrv.benimad.local: domain of
noreply@benimdomain does not designate 96.9.137.5 as permitted sender)
receiver=benimsrv.benimad.local; client-ip=96.9.137.5;
helo=static-host-96-9-137-5.awasr.om;
X-ESET-AS: SCORE=27
X-EsetResult: not scanned, unknown
Old-X-EsetId: 37303A29512AC56C677661
X-MS-Exchange-Organization-SCL: 0
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.16631.866;SID:SenderIDStatus Fail;OrigIP:96.9.137.5
X-EXCLAIMER-MD-CONFIG: e2f759ac-0227-481b-af3e-b97e5cebd474
MIME-Version: 1.0
X-EsetId: 37303A29512AC56C677661

 

 
Gönderildi : 31/07/2017 19:28

(@huseyinertugrul)
Gönderiler: 1112
Noble Member
 

Exchange sunucunuzu koruyan bir anti spam gateway olmalı, dışardan ya da içerden gibi gelen bu emailler yaygın bir spam örneğidir.
Relay hakkı verdiğiniz yazıcılar için email gönderimi yapabileceği adresleri belirleyerek farklı adreslere isteminiz dışında email atmasını engelleyebilirsiniz. Bunun için Exchange Transport Rule işinizi görecektir.

 
Gönderildi : 03/08/2017 12:33

(@MuratUYSAL)
Gönderiler: 19
Eminent Member
Konu başlatıcı
 

Cevabınız için Teşekkür ederim Hüseyin Bey,

Exchange sunucumuzu Eset for Exchange yazılımı ile koruyor ve spamları engellemeye çalışıyoruz.
tam olarak çözemediğim konu aslında şu bu e-posta dışardan mı geliyor? İçeriden mi?

Noreplay şeklinde bir kullanıcı olmamasına karşın, böyle bir adresten mail geliyormuş gibi görünmesi benim kafamı karıştırıyor.

Bazende kullanıcılara kendi ardesinden geliyormuş gibi mail geliyor.

Kontrol ettiğimde sunucum Relay e kapalı. Bu durumda da mail adresi her ne kadar bizim sunucu gibi görünsede,
dışarıdan bir kaynaktan gönderilip bir şekilde gönderen bilgisinde bizim adreslerimizi çıkardığı kanısına varıyorum.

Bu durumu nasıl net olarak tespit ederim yukarıda paylaştığım üst bilgi verisi bu çıkarım için yeterlimidir?

Yazıcılarda gelen faxlar dışında genelde kullanıcılar kendi mail adreslerine tarama yaparak yazıcı üzerinden gönderim yapıyorlar.

İyi çalışmalar Dilerim.

 

 

 
Gönderildi : 03/08/2017 16:55

(@huseyinertugrul)
Gönderiler: 1112
Noble Member
 

Cevabınız için Teşekkür ederim Hüseyin Bey,

Exchange sunucumuzu Eset for Exchange yazılımı ile koruyor ve spamları engellemeye çalışıyoruz.
tam olarak çözemediğim konu aslında şu bu e-posta dışardan mı geliyor? İçeriden mi?

Noreplay şeklinde bir kullanıcı olmamasına karşın, böyle bir adresten mail geliyormuş gibi görünmesi benim kafamı karıştırıyor.

Bazende kullanıcılara kendi ardesinden geliyormuş gibi mail geliyor.

Kontrol ettiğimde sunucum Relay e kapalı. Bu durumda da mail adresi her ne kadar bizim sunucu gibi görünsede,
dışarıdan bir kaynaktan gönderilip bir şekilde gönderen bilgisinde bizim adreslerimizi çıkardığı kanısına varıyorum.

Bu durumu nasıl net olarak tespit ederim yukarıda paylaştığım üst bilgi verisi bu çıkarım için yeterlimidir?

Yazıcılarda gelen faxlar dışında genelde kullanıcılar kendi mail adreslerine tarama yaparak yazıcı üzerinden gönderim yapıyorlar.

İyi çalışmalar Dilerim.

 

 

Tam tespit için gelen spam emaillerin Header bilgisini analiz etmeniz gerekli. Genelde dışarıdan spam olarak gelir bu tür emailler.

Yazıcılar için dediğim gibi mail gönderimini transport rule ile kıstlayarak sadece çıktı alan kullanıcılara yapacak şekilde sınırlayınız.

 
Gönderildi : 03/08/2017 20:35

Paylaş: