Forum

Exchange 2003 ü...
 
Bildirimler
Hepsini Temizle

Exchange 2003 ümde spam problemi

5 Yazılar
3 Üyeler
0 Reactions
537 Görüntüleme
(@cetintek)
Gönderiler: 35
Trusted Member
Konu başlatıcı
 

Merhabalar,


üstesinden şu ana kadar tam anlamıyla gelemediğim bir problemim  var. İyice anlayatım ki açık olsun.


Kullanıcılarım yaklaşık 1 aydır kendi kendilerine istenmeyen mailler atıyordu, yalnız 50 kullanıcı varsa 30 u boyle idi. Tabiki bilerek degil. Gunde 15-20 tane geliyordu, içeriginde reklam resmi vb seyler olan mailler. Antispam yazılımları bunları ekarte edemiyordu tam olarak. Bu yuzden servrı formatlayıp Exchange i yeniden kurdum.Bu durumla ilgili 2 şey sormak istiyorum.


1...win2003 server ve Exchange2003 beraber çalışıyorlar şu anda.Mail viruslerine  karşı Symantec Mail Security, Antispam için Symantec Brightmail kullanıyorum. yeni versiyonlrı bunlar. Yalnız önce Symantec Mail Security sonra Brigthmail Scanner kurdum, Symantec Mail Security içinde Brigthmailin lisansını gosterdim. Validation da problem yok. Yalnız Brightmail in Control centerını kurmaya calısyorum ama kum saaiti cıkıyor sonra hicbisey kurulmuyor. Bu durumda düzgün yapılandırma sağlamış mıyımdır?


2...Defaultta relay e kapalı durumu muhafaza ediyorum Exchange 2003 için. Şu anda başka domainlerden spam gelmiyor, çook nadir olarak geliyor. Fakat kullanıcılara  kendinden anlamsız mailler gidiyor hala. Bunun sebebi ne olabilir. Bunu yaşayan kullanıcıların mailboxlarındaki itemlarda virus olabilir mi? Ya da spamci birimi yapıyor bunu çözemedim hala. Ancak kullanıcıların kendilerine atmıs gozuken maillerin subjectine gore Exchange üzerinde Symantec Mail Security ile filtreleme yapabiliyorum. Ama subject farklıysa geciyor mailler.Nasıl cozebilirim bu konuyu, fikri olan varmı acaba 

 
Gönderildi : 30/12/2008 14:52

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Mail Server’ların SPAM için Relay Açıklarını Anlamak ve Açıkları Gidermek



Bilgisayar dünyasında sıklıkla kullandığımız servislerin başında E-posta servisleri gelmektedir. E-pota günümüz dünyasında vazgeçilmez bir konumdadır. E-posta servislerinin bize sağladığı pek çok yararın yanında zararları da bulunmaktadır . Bu zararların başında Spam maillerin verdiği zaman kaybı gelmektedir.


Mail Server ların Spam mail almalarının en büyük nedeni aslında sunucuların virüs ve spam için yazılım kullanmamasıdır. Tabiî ki bu bu yazılımlardan önce mail serverınızın temel fonksiyonlarını kontrol etmeniz gerekmektedir.


Bu temel fonksiyonların başında ise ; kimliğini doğrulamayan bir kişiden gelen mail ileti isteklerinin kabul edilmememsidir. Bu işlemin temelinde “Relay” bulunmaktadır , Relay ; iletmek manasına gelmektedir . Bu konu üzerinde biraz daha durmak gerekir ise ;


Bir Exchange server SMTP üzerinden mail almakta ve mail göndermektedir . Yani Exchange server veya herhangi bir mail server a bağlanan bir istemci mailleri almak için POP3 , IMAP , MAPI vb protokolleri kullanabilir , bu protokoller ile server üzerindeki maillerine ulaşma imkanına sahiplerdir.


Mail göndermek için ise istemci SMTP kullanır , çalışma mantığı ise aşağıdaki şekilde göründüğü gibidir



Şekil – 1


Yukarıdaki şekilde ben evimdeki laptop ile başka bir domain e mail atmak istiyorum . Kullandığım program Outlook , Outlook Express , web ara yüzü vb bir client uygulaması olabilir . Bu uygulama sayesinde ben başka bir mail adresine mail gönderdiğim zaman aslında bu maili benim adıma Exchange server gönderir , çünkü benim bilgisayarımda SMTP hizmeti bulunmamaktadır . Bu gerçekleştirilen eyleme “Relay” denir , yani iletme manasına gelir. Bir spam dağıtıcısı da kendi mail istemcisinde mail server olarak sizin sunucunuzu yazar ise sizin sunucunuz onun gönderdiği mailleri de internete dağıtmaya başlar. Exchange 5.5 te böyle bir açık bulunmakta idi , yani birisi sizin ip adresiniz üzerinden spam mail dağıtmakta idi , tabiî ki bu durumda RBL ye girecek olan ip adresi sizin ip adresiniz olacak ve bu durumda şirket maillerinizin ulaştırılması da kesintiye uğrayacaktır.


Eğer şirketinizde hala Exchange 5.5 kullanıyorsanız aşağıdaki adımları yerine getirerek bu açığı kapatabilirsiniz


Öncelikle Exchange Administrator’ü açıyoruz , “Site” altında bulunan Configration kısmına oradan ise Connection bölümünü seçin . Bunun üzerinde sağ tıklayarak properties’i seçiyoruz . Routing Tabında “Do not Reroute incoming SMTP Mail “ yerine “Remote incoming SMTP mail ( required for POP3/IMAP Support )” u seçin. Add butonuna yardımı ile kullandığınız “domain” ismini buraya ekliyoruz. Ardından yine aynı sekmedeki “Route Restrictions” a tıklıyoruz ve açılan pencerede “Host and client with these ip addresses” kutucuğunu işaretliyoruz.


Resimli ve detaylı anlatım için aşağıdaki link’i inceleyebilirsiniz


http://www.msexchange.org/tutorials/Preventing_Third_Party_Relaying_In_MS_Exchange_Server_55.html


Peki Relay ın açık olup olmadığını nasıl kontrol edeceğiz ?


Bunu bir site veya program yardımı olmadan telnet ile yapabilirsiniz .


İlk olarak telnet ile hedef sunucuya bağlanmamız gerekmektedir ;


telnet 85.X.X.X 25 yazmamız halinde sunucuya bağlantıya geçmiş oluruz ( not : eğer firewall da 25 nolu port açık değil ise veya sizin tarafınızda bir firewall bu portu telnet için yasaklamış ise sorun çekersiniz. )



Şekil - 2


Bağlantı gerçekleştikten sonra komut satırında “EHLO” dememiz yeterlidir . Bu komutu koşturduktan sonra , sunucuda bize yukarıdaki gibi cevap verecektir. Bu cevabı aldıktan sonra “RSET” komutunu çalıştırıyoruz , daha sonra “MAIL FROM:[email protected]” (enter) , yazdığımızda sunucu bize “250 2.1.0 hakan@deneöe.com….Sender OK” cevabını vermektedir. Bu gönderici aslında bu domain içerisinde bulunmamaktadır. Bizim amacımız zaten bu domain de olmayan bir kullanıcı ile dışarıya mail atmak istiyoruz. Göndericiyi belirledikten sonra alıcıyı belirliyoruz . “RCPT TO:Serkan.uzuner@cozumpark.com” (enter) , sonuç olarak ise mail sunucusu bize bu mail i iletemediğini belirten bir mesaj verir. ( 550 5.7.1 Unable to relay for Serkan.uzuner@cozumpark.com )


Peki şimdi başka bir deneme yapalım . Bu sefer mail tanınmayan bir kişiden değil de şirket içerisinde mail adresi olan birisinden yapalım. Bu bilgiyi almak çok zor değildir . Örneğin çalıştığım şirkete ait bir kart veya benden gelen bir mail adresi zaten benim kullanıcı adımı tanımlamak için yeterlidir.


Bu durumda yine yukarıdaki gibi komutları kullanacağız ama bu sefer “MAIL FROM” kısmına yerel bir kullanıcı yazacağız.



Şekil - 3


Yukarıda görüldüğü gibi ben lokalde tanımlı bir kullanıcıyı yazınca sistem mail UPN i otomatik olarak tanımladı ( aslında mail adresinizi ) , ancak yine mail i iletmek mümkün olmadı.


Diğer bir denememizde ise from kısmını boş bırakmak . Yani ne içeriden nede dışarıdan birisinin mail adres bilgisini vermeden mail göndermeyi deneylim



Şekil - 4


Burada da gördüğümüz gibi yine mail server “Relay”’e kapalı olduğu için bu mail ide iletmedi.


Bir başka durum ise , lokal mail adresini tam olarak yazmaktır



Şekil - 5


Bu durumda da sunucumuz iletme işlemini gerçekleştirmemektedir.


Denemelerimize devam ediyoruz . Bir diğer durumu deneyeceğim şimdi ; bu durumda da mail server ın DNS Suffix i yerine ip adresini deneyeceğim



Şekil - 6


Bu denemede başarısız oldu . Bu denemelerin sonucunda mail sunucumuzun relay’e gerçekten kapalı olduğunu anlayabiliriz. Yaptığımız bütün denemeler sonuçsuz kaldı ve kimlik doğrulama yapılmadan gerçekleştirilen hiçbir istekte iletilmedi.


“telnet ile ilgili daha fazla bilgi almak için aşağıdaki makalemi okuyabilirsiniz “



Peki sunucumuzu internet ortamından kontrol etmek istersek ;


Bu işi yapan pek çok web sitesi var , yani domain isminizi vermeniz halinde o domain den sorumlu olan mail server testlerini yapıp size rapor verir.


Örnek olarak aşağıdaki adresi kullanabiliriz


http://www.antispam-ufrj.pads.ufrj.br/test-relay.html


Bu adreste domain isminizi kutucuğa yazın ve “test” butonuna basın.



Sonuçlarında ise en altta rapor verilmektedir.


Relay test 19


>>> RSET
<<< 250 Requested mail action okay, completed
>>> MAIL FROM: <spamtest@[208.109.209.195]>
<<< 250 Requested mail action okay, completed
>>> RCPT TO: <relaytest%antispam-ufrj.pads.ufrj.br@>
<<< 550 Requested action not taken: mailbox unavailable or not local


Relay test 20


>>> RSET
<<< 250 Requested mail action okay, completed
>>> MAIL FROM: <spamtest@[208.109.209.195]>
<<< 250 Requested mail action okay, completed
>>> RCPT TO: <[email protected]@>
<<< 550 Requested action not taken: mailbox unavailable or not local
>>> QUIT
<<< 221 Service closing transmission channel
Relay test result All tests performed, no relays accepted by remote host. Benim test sonuçlarımda mail sunucum relay e kapalı olarak gözüküyor .


Peki bu kadar bilgiden sonra nasıl oluyor da Spam lar hala bu kadar çok . İşte en önemli nokta budur.


Spam yapmak isteyen bir insan öncelikle relay e açık bir sunucu arar , artık relay konusunda bilgili olduğumuz için testlerin sonucunda relay ı kapatmamız gerekir , bunu yaptık peki spam yapmak isteyen kişi bu sefer ne yapar . Eğer relay e açık bir sunucu bulamazsa bu sefer virüs içerikli mailleri mail server lara göndermeye başlar . Mail server lar mailleri alırken kimlik doğrulamak istemez . Yani örneğin [email protected] a mail attığımda benim mail sunucum karşı sunucuya “SMTP” ile bağlanır ve mail ini bırakır , yani bu noktada gmail sunucuları kimlik doğrulamak istemez ki zaten bu noktada böyle bir şey çok ta mümkün değildir . Düşünürseniz her mail attığınız sunucuda bir hesabınız olması gerekir.


Demek ki mail sunucumuz bize gönderilen her maili almaktadır , madem öyle eğer bu mailde bir virüs var ise doğal olarak benim mail sunucumun veritabanında da virüslü bir mail olmaktadır , bunun sonucu olarak ise artık mail sunucumuz spamcılar tarafından ele geçirilmiştir. Yani spam yapmak isteyenler bu açık sayesinde mail sunucumuzu ele geçirebilirler. Relay i her ne kadar kapatsak ta mail sunucumuz yine RBL ye girecektir.


Bu bilgiler ışığında internete açık olan bir mail sunucunda virüs programı mutlaka olmalıdır. Ama virüs program diyip te geçmemek lazım .


Exchange server maillerin tamamını veri tabanında tutar , yani 100 adet mailbox ve 1000 adet mailin olduğu bir Exchange server da bütün mailler ve ekler tek bir dosyada tutulmaktadır . eğer siz herhangi bir masa üstü virüs programı alır ve Exchange server a yüklerseniz bu program bu veritabanını virüslü görecek ve bu dosyaya zarar verecektir. Bu nedenle Exchange server a mutlaka “for Exchange” ürünü almanız gerekmektedir. Bu programların farklı bu veri tabanına bağlanmaları ve virüsleri mailbox > mail >ekler şeklinde derin bir tarama yaparak bulur ve temizler .


Bu konuda başarılı pek çok ürün bulunmaktadır ama ben bu ürünlerden “Symantec Mail Security for Exchange” ve Mcafee Group Shield ‘ı tavsiye ediyorum. Alacağınız 3. parti bu yazılımlar sayesinde Exchange Server Virüslere , spam maillere karşı korunmuş olacak ve bu sayede gerek mail kotanız , gerek mailbox boyutlarında bir sorun gözlenmeyecek ve RBL ye girmeyeceksiniz.


Bu nedenle kurulmuş ve internete açık olan bir Mail server öncelikle bir Relay testi yapmalı daha sonra ise gerekli olan Anti Virüs ve Anti Spam programlarını satın almalısınız.

 
Gönderildi : 30/12/2008 15:08

(@cetintek)
Gönderiler: 35
Trusted Member
Konu başlatıcı
 

Cevap için tesekkur ederim,


ben bahsettiğiniz siteden relay testi yaptırdım


(reklam olmasın diye mail server ip adresimi ve domainadımı degistirdim sonuclarda)


son testten onceki butun sonuclarda <<< 550 5.7.1 Unable to relay for relaytest%[email protected]


son testte ise


Relay test 9


>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM: <spamtest@[mail ip adresim]>
<<< 250 2.1.0 spamtest@[mail ip adresim]....Sender OK
>>> RCPT TO: <"[email protected]">
<<< 250 2.1.5 "[email protected]"@domainim.com

>>> QUIT
<<< 221 2.0.0 mail.domainim.com Service closing transmission channel


Relay test result


Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.


diyor.


Şimdi son testteki sonucu anlayamadım bir acık var mı demek istiyor.


Relayin anlamını biliyorum ama positive open relay ne demek bunu bilmiyorum?

 
Gönderildi : 31/12/2008 18:13

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

Sistem de relay açık demek istiyor ve spam mail geliyor bu yüzden

 
Gönderildi : 31/12/2008 18:21

(@bbeken)
Gönderiler: 2
New Member
 

Cevap için tesekkur ederim,

ben bahsettiğiniz siteden relay testi yaptırdım

(reklam olmasın diye mail server ip adresimi ve domainadımı degistirdim sonuclarda)

son testten onceki butun sonuclarda <<< 550 5.7.1 Unable to relay for relaytest%[email protected]

son testte ise

Relay test 9

>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM: <spamtest@[mail ip adresim]>
<<< 250 2.1.0 spamtest@[mail ip adresim]....Sender OK
>>> RCPT TO: <"[email protected]">
<<< 250 2.1.5 "[email protected]"@domainim.com

>>> QUIT
<<< 221 2.0.0 mail.domainim.com Service closing transmission channel

Relay test result

Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.

diyor.

Şimdi son testteki sonucu anlayamadım bir acık var mı demek istiyor.

Relayin anlamını biliyorum ama positive open relay ne demek bunu bilmiyorum?

  Tüm relay ayarları kapalı, Internet üzerindende baktığım tüm anlatımlarda ki Relay ayarlarını yapmış olmamıza rağmen, bu sitenin 9. Testi Relay açık diyor. Exchange 2003 te farklı bir ayar yada yamamı var? 

 
Gönderildi : 04/05/2010 16:31

Paylaş: