Forum
Merhaba Arkadaşlar,
Benim şöyle bir problemim var, şirket bünyesinde Exchange 2010 server kullanıyoruz, Bazı kullanıcılara noreyley@bizimdomainadımız.com yada kendi mail adresinden virüslü doc uzantılı mailler geliyor. Noreplay diye bir kullanıcı Exchange üzerinde yok.
Sorun bu iken yapımızı biraz anlatmaya çalışayım.
AD kullanıcısı PC ler dışında, taranan dökümanları mail atan yazıcılar var.
Bu cihazlar şifre bilgisi olmaksızın smtp yi kullanıp mail atabilmekte. Exchange üzerindeki
receive connectors te client connector "Anonymous Users" seçili değil bu işlemi Relay e kapatmak için yapmıştım.
Default Olan connector de ise "Anonymous Users" Aktif Dışarıya mail çıkışı için seçili olması gerektiği için diye biliyorum.
Sunucuda dışarıdan Relay e kapalı. İçeriden yazıcılar üzerinden veya herhangi bir PC üzerinden olan bir durum olabilirmi,
Yardımcı olabilirseniz sevinirim.
Buda gelen bir mailin üst bilgisi. Bir çıkarımda bulunamadım yardımcı olabilirseniz sevinirim
Buda gönderici client ip adresi
Received: from static-host-96-9-137-5.awasr.om (96.9.137.5) by
benimsrv.benimad.local (192.168.1.1) with Microsoft SMTP Server id
14.3.361.1; Mon, 31 Jul 2017 13:58:17 +0300
From: <[email protected]>
To: <[email protected]>
Subject: Scanned image from MX-2600N
Date: Mon, 31 Jul 2017 14:59:16 +0400
Message-ID: <[email protected]>
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_8055_A4E1DCDC.BCFA1D2B"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: c8467bC61A7CD348AccFE18AAC0da3==
Return-Path: [email protected]
X-MS-Exchange-Organization-AuthSource: benimsrv.benimad.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: benimdomain.com
X-MS-Exchange-Organization-SenderIdResult: Fail
Received-SPF: Fail (benimsrv.benimad.local: domain of
noreply@benimdomain does not designate 96.9.137.5 as permitted sender)
receiver=benimsrv.benimad.local; client-ip=96.9.137.5;
helo=static-host-96-9-137-5.awasr.om;
X-ESET-AS: SCORE=27
X-EsetResult: not scanned, unknown
Old-X-EsetId: 37303A29512AC56C677661
X-MS-Exchange-Organization-SCL: 0
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.16631.866;SID:SenderIDStatus Fail;OrigIP:96.9.137.5
X-EXCLAIMER-MD-CONFIG: e2f759ac-0227-481b-af3e-b97e5cebd474
MIME-Version: 1.0
X-EsetId: 37303A29512AC56C677661
Exchange sunucunuzu koruyan bir anti spam gateway olmalı, dışardan ya da içerden gibi gelen bu emailler yaygın bir spam örneğidir.
Relay hakkı verdiğiniz yazıcılar için email gönderimi yapabileceği adresleri belirleyerek farklı adreslere isteminiz dışında email atmasını engelleyebilirsiniz. Bunun için Exchange Transport Rule işinizi görecektir.
Cevabınız için Teşekkür ederim Hüseyin Bey,
Exchange sunucumuzu Eset for Exchange yazılımı ile koruyor ve spamları engellemeye çalışıyoruz.
tam olarak çözemediğim konu aslında şu bu e-posta dışardan mı geliyor? İçeriden mi?
Noreplay şeklinde bir kullanıcı olmamasına karşın, böyle bir adresten mail geliyormuş gibi görünmesi benim kafamı karıştırıyor.
Bazende kullanıcılara kendi ardesinden geliyormuş gibi mail geliyor.
Kontrol ettiğimde sunucum Relay e kapalı. Bu durumda da mail adresi her ne kadar bizim sunucu gibi görünsede,
dışarıdan bir kaynaktan gönderilip bir şekilde gönderen bilgisinde bizim adreslerimizi çıkardığı kanısına varıyorum.
Bu durumu nasıl net olarak tespit ederim yukarıda paylaştığım üst bilgi verisi bu çıkarım için yeterlimidir?
Yazıcılarda gelen faxlar dışında genelde kullanıcılar kendi mail adreslerine tarama yaparak yazıcı üzerinden gönderim yapıyorlar.
İyi çalışmalar Dilerim.
Cevabınız için Teşekkür ederim Hüseyin Bey,
Exchange sunucumuzu Eset for Exchange yazılımı ile koruyor ve spamları engellemeye çalışıyoruz.
tam olarak çözemediğim konu aslında şu bu e-posta dışardan mı geliyor? İçeriden mi?Noreplay şeklinde bir kullanıcı olmamasına karşın, böyle bir adresten mail geliyormuş gibi görünmesi benim kafamı karıştırıyor.
Bazende kullanıcılara kendi ardesinden geliyormuş gibi mail geliyor.
Kontrol ettiğimde sunucum Relay e kapalı. Bu durumda da mail adresi her ne kadar bizim sunucu gibi görünsede,
dışarıdan bir kaynaktan gönderilip bir şekilde gönderen bilgisinde bizim adreslerimizi çıkardığı kanısına varıyorum.Bu durumu nasıl net olarak tespit ederim yukarıda paylaştığım üst bilgi verisi bu çıkarım için yeterlimidir?
Yazıcılarda gelen faxlar dışında genelde kullanıcılar kendi mail adreslerine tarama yaparak yazıcı üzerinden gönderim yapıyorlar.
İyi çalışmalar Dilerim.
Tam tespit için gelen spam emaillerin Header bilgisini analiz etmeniz gerekli. Genelde dışarıdan spam olarak gelir bu tür emailler.
Yazıcılar için dediğim gibi mail gönderimini transport rule ile kıstlayarak sadece çıktı alan kullanıcılara yapacak şekilde sınırlayınız.