Forum

Localdeki Mail sunu...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Localdeki Mail sunucunun dışarıya spam basması

9 Yazılar
3 Üyeler
0 Reactions
1,376 Görüntüleme
(@savasates)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Merhabalar,

Şirket altyapısında kullanılan icewarp mail sunucumuz üzerinde son zamanlarda spam maili gönderme sorunu yaşanıyor.

Şöyleki sunucu loglarına baktığımızda bizim domain uzantısı kullanılıp mailler dışarıda farklı adreslere gönderiliyor.

 

mail şifresi çalındı desem diyemiyorum çünkü böyle bir hesap sunucuda mevcut değil.

 

domain uzantım "[email protected]" adresinden spam basıyor, fakat benim böyle bir user kullanıcım yok.

Geçende "[email protected]" adresinden dışarıya spam gönderirken yakaladım.

muhasebe2

 

Sunucumda böyle bir kullanıcı maili tanımlı değilken nasıl oluyorda sunucum üzerinden farklı mail adreslerine spam basabiliyorlar. ?

Bu durumun mantıklı bir açıklaması var mı ? Görüşlerinizi paylaşırsanız sevinirim.

 

Not : Lokasyonumda kullanılan tüm bilgisayarlar ve sunucular

Kaspersky ile korunup hepsi temiz görünüyor.

Ayrıca Relay açık değil.

Teşekkürler.

 
Gönderildi : 27/10/2021 10:59

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Hesabın olmasına gerek yok, yetkili bir hesap ise relay yapabilir, yani olmayan bir hesap üzerinden mail gönderebilir. Özetle iki şey olabilir

1 - Relay açığınız var, yani dış dünyaya karşı bir zafiyet bunu test edin.

Email Server Test - Online SMTP diagnostics tool - MxToolbox

2 - Şifrenizi birisi almış, herhangi bir kullanıcı olabilir ondan rahatlıkla relay yapıyor ya da bir virüs bulaşmış bunun çözümüde connection loglarına bakmanız, yani siz smtp loglarına bakıyorsunuz, o saate o connection hangi ip den geliyor ise sorunlu makineyi ve hesabı bulabilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 27/10/2021 14:31

(@savasates)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Hakan Bey,

 

Dediğim gibi Relay kapalı, İcewarp içinde connection log diye birşey göremedim.Relay kapalı ve tüm sistem temiz görünüyorsa bu işin nasıl yapıldığını bulmakta ayrı bir olay sanırım.

 

notrelay
 
Gönderildi : 27/10/2021 15:11

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Tabi bu da ayrı bir uzmamlık. Exchange de connector loglarından biz anında bulabiliyoruz  PS ile ama bu ürünün connection logları nerededir bakmanız lazım. Ama Exchange den daha basit olduğuna eminim.

 

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 27/10/2021 15:32

(@savasates)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Hakan Bey,

Bu nedir allah aşkına yüzlerde ip blokladım adamlar bıkmadan usanmadan sunucuma geliyorlar. Bunun çözümü nedir nasıldır fikriniz var mı ?

Ayrıca bu logu nasıl okursunuz ? (böyle bir user adresim yok)

 

45.133.1.100 [1A10] 20:42:58 Connected, local IP=172.16.1.11:25
45.133.1.100 [1A10] 20:43:00 >>> 220 mail.benimdomain.com.tr ESMTP IceWarp 12.0.2.0 x64; Tue, 02 Nov 2021 20:43:00 +0300
45.133.1.100 [1A10] 20:43:00 <<< EHLO [45.133.1.100]
45.133.1.100 [1A10] 20:43:00 >>> 250-mail.benimdomain.com.tr Hello [45.133.1.100] [45.133.1.100], pleased to meet you.
250-ENHANCEDSTATUSCODES
250-SIZE 25165824
250-EXPN
250-ETRN
250-ATRN
250-DSN
250-CHECKPOINT
250-8BITMIME
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM GSSAPI
250-S
45.133.1.100 [1A10] 20:43:00 <<< AUTH LOGIN
45.133.1.100 [1A10] 20:43:00 >>> 334 VXNlcm5hbWU6
45.133.1.100 [1A10] 20:43:00 <<< c2VydmljZQ==
45.133.1.100 [1A10] 20:43:00 >>> 334 UGFzc3dvcmQ6
45.133.1.100 [1A10] 20:43:00 <<< c2VydmljZTIy
45.133.1.100 [1A10] 20:43:03 Authentication [SMTP] - Result=0, [email protected], Method=0
45.133.1.100 [1A10] 20:43:03 >>> 535 5.7.8 Authentication credentials invalid
45.133.1.100 [1A10] 20:43:03 <<< QUIT
45.133.1.100 [1A10] 20:43:03 >>> 221 2.0.0 mail.benimdomain.com.tr closing connection
45.133.1.100 [1A10] 20:43:03 *** <> <> 0 0 00:00:00 INCOMPLETE-SESSION
45.133.1.100 [1A10] 20:43:03 Disconnected

 
Gönderildi : 02/11/2021 20:55

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Local IP'e odaklanmanız gerekir burdan başka pek birşey çıkmaz.
Üründe açığınız olabilir isterseniz icewarp dan support alıp inceletebilirsiniz. 

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/11/2021 22:25

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Savaş Bey, SMTP GW ürünü olmadan mail sunucunuzu koruyamazsınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/11/2021 23:33

(@savasates)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 
Gönderen: @hakanuzuner

Savaş Bey, SMTP GW ürünü olmadan mail sunucunuzu koruyamazsınız.

Sophosumda böyle bir özellik varmış.En kısa sürede Sophos GW yapacağım.Yardımlarınız için teşekkürler.

 

 
Gönderildi : 03/11/2021 09:54

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Rica ederim. UTM üzerindeki bu özellikler sınırlıdır. Ondan ona çok güvenmeyin, ama hiç olmamasından iyidir tabi.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/11/2021 10:40

Paylaş: