Mi exchange 2003 sigue haciendo envio de SPAM aun con la config de relay correcta

On 20 abr, 16:25, Daniel Torres Hernández
wrote:
Mostrar la cita

Hola!

Tengo un server exchange 2003 al cual hace unos d as empec a recibir avisos
de que estaba mandando spam, revise las opciones de relay y hab a un par de
direcciones IP agregadas, no se como se agregaron pero ah estaban, solo yo
administro este server.

Las quite inmediatamente y revise las opciones de relay del smtp y del
conector smtp, ambos casos estaba correcto.

Borre los mensajes de las colas y pens que ya hab a quedado resuelto.

Hoy que me fijo tengo una cantidad enorme de mails en las colas, hay una
cola que es 112.org, en esta todos los mensajes son de postmaster, y asi
como los borro se siguen apareciendo miles.

Active el recipient filtering en la mensajeria y en el SMTP pero aun asi
siguen apareciendo miles de correos de postmaster.

En otras colas como la de yahoo.com ah tengo igual cientos de correos de
spam, que as como borro siguen apareciendo, incluso con el smtp en pausa,
los correos casi todos son del sender Mr. Ricardo Lewis
, no entiendo como est n cayendo tantos correos!

Alguien sabe a que se debe?

Mil Gracias de antemano!

Saludos!!

Daniel Torres
Mexico

http://www.eseutil.net/blog/las-col...postmaster

Slds,

Bryan Calderón M.

Muchas Gracias Bryan!

Ya me habia dado una vuelta por el blog de pablo y active el recipient
filter como ahi lo marca, tambien verifique mis opciones del relay del SMTP
y del conector, ambos están bien, ya no se de donde se me esta metiendo el
spam, verifique la prueba del abuse.net y el resultado es:

Relay test result
All tests performed, no relays accepted.

subi una imagen de las colas a http://www.creativeplanet.com.mx/scam.gif,
estan incrementando a cada momento, no se
como se esta generando!

Ya active el log para que vea si es algun usuario pero no se genera el
evento 1708, lo que hice fue:

Determine whether an authenticated user is relaying
This section enables logging in the Windows Event Viewer such that any
authentication attempts against the SMTP service (successful or failures)
are logged in the application log.
Start Exchange Administrator.
Double-click Servers.
Under Servers, right-click ServerName, and then click Properties.
Click the Diagnostic Logging tab.
Click MSExchangeTransport on the left.
On the right, click SMTP Protocol.
Under Logging Level, click Maximum.
Click OK to close Server Properties.
If a remote user is authenticating against the Small Business Server
computer as part of an operation to relay SMTP e-mail, you will see an event
that is similar to the following in the application log:
Event Type: Information
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 1708
Date: 8/13/2003
Time: 10:13:24 AM
User: N/A
Computer: SERVER
Description: SMTP Authentication was performed successfully with client
remote_computername. The authentication method was LOGIN and the username
was company\username.

Pero nada, los mails siguen multiplicandose y el rendimiento del servidor
esta muy afectado, ojala alguien sepa que puedo hacer porque si no tendre
que reinstalar el servidor.

Sera alguna vulnerabilidad? habra algun fix?

Saludos!!

Vi en un docto de ms
"Bryan Calderon M." escribió en el mensaje de
noticias:
Mostrar la cita

On 20 abr, 16:25, Daniel Torres Hernández
wrote:
Mostrar la cita

Hola!

Tengo un server exchange 2003 al cual hace unos d as empec a recibir
avisos
de que estaba mandando spam, revise las opciones de relay y hab a un par
de
direcciones IP agregadas, no se como se agregaron pero ah estaban, solo
yo
administro este server.

Las quite inmediatamente y revise las opciones de relay del smtp y del
conector smtp, ambos casos estaba correcto.

Borre los mensajes de las colas y pens que ya hab a quedado resuelto.

Hoy que me fijo tengo una cantidad enorme de mails en las colas, hay una
cola que es 112.org, en esta todos los mensajes son de postmaster, y asi
como los borro se siguen apareciendo miles.

Active el recipient filtering en la mensajeria y en el SMTP pero aun asi
siguen apareciendo miles de correos de postmaster.

En otras colas como la de yahoo.com ah tengo igual cientos de correos de
spam, que as como borro siguen apareciendo, incluso con el smtp en pausa,
los correos casi todos son del sender Mr. Ricardo Lewis
, no entiendo como est n cayendo tantos correos!

Alguien sabe a que se debe?

Mil Gracias de antemano!

Saludos!!

Daniel Torres
Mexico

http://www.eseutil.net/blog/las-col...postmaster

Slds,

Bryan Calderón M.

On 22 abr, 13:27, Daniel Torres Hernández
wrote:
Mostrar la cita

Muchas Gracias Bryan!

Ya me habia dado una vuelta por el blog de pablo y active el recipient
filter como ahi lo marca, tambien verifique mis opciones del relay del SMTP
y del conector, ambos están bien, ya no se de donde se me esta metiendo el
spam, verifique la prueba del abuse.net y el resultado es:

 Relay test result
All tests performed, no relays accepted.

subi una imagen  de las colas ahttp://www.creativeplanet.com.mx/scam.gif,
estan incrementando a cada momento, no se
como se esta generando!

Ya active el log para que vea si es algun usuario pero no se genera el
evento 1708, lo que hice fue:

Determine whether an authenticated user is relaying
This section enables logging in the Windows Event Viewer such that any
authentication attempts against the SMTP service (successful or failures)
are logged in the application log.
Start Exchange Administrator.
Double-click Servers.
Under Servers, right-click ServerName, and then click Properties.
Click the Diagnostic Logging tab.
Click MSExchangeTransport on the left.
On the right, click SMTP Protocol.
Under Logging Level, click Maximum.
Click OK to close Server Properties.
If a remote user is authenticating against the Small Business Server
computer as part of an operation to relay SMTP e-mail, you will see an event
that is similar to the following in the application log:
Event Type: Information
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 1708
Date: 8/13/2003
Time: 10:13:24 AM
User: N/A
Computer: SERVER
Description: SMTP Authentication was performed successfully with client
remote_computername. The authentication method was LOGIN and the username
was company\username.

Pero nada, los mails siguen multiplicandose y el rendimiento del servidor
esta muy afectado, ojala alguien sepa que puedo hacer porque si no tendre
que reinstalar el servidor.

Sera alguna vulnerabilidad? habra algun fix?

Saludos!!

Vi en un docto de ms
"Bryan Calderon M." escribió en el mensaje de
noticias:



> On 20 abr, 16:25, Daniel Torres Hernández
> wrote:
>> Hola!

>> Tengo un server exchange 2003 al cual hace unos d as empec a recibir
>> avisos
>> de que estaba mandando spam, revise las opciones de relay y hab a un par
>> de
>> direcciones IP agregadas, no se como se agregaron pero ah estaban, solo
>> yo
>> administro este server.

>> Las quite inmediatamente y revise las opciones de relay del smtp y del
>> conector smtp, ambos casos estaba correcto.

>> Borre los mensajes de las colas y pens que ya hab a quedado resuelto.

>> Hoy que me fijo tengo una cantidad enorme de mails en las colas, hay una
>> cola que es 112.org, en esta todos los mensajes son de postmaster, y asi
>> como los borro se siguen apareciendo miles.

>> Active el recipient filtering en la mensajeria y en el SMTP pero aun asi
>> siguen apareciendo miles de correos de postmaster.

>> En otras colas como la de yahoo.com ah tengo igual cientos de correos de
>> spam, que as como borro siguen apareciendo, incluso con el smtp en pausa,
>> los correos casi todos son del sender Mr. Ricardo Lewis
>> , no entiendo como est n cayendo tantos correos!

>> Alguien sabe a que se debe?

>> Mil Gracias de antemano!

>> Saludos!!

>> Daniel Torres
>> Mexico

>http://www.eseutil.net/blog/las-col...mensaje...

> Slds,

> Bryan Calderón M.- Ocultar texto de la cita -

- Mostrar texto de la cita -

Con todo gusto Daniel, esta un poco extraño el tema.arriba veo que
comentas que la mayoria de los correos el sender es "Ricardo Lewis",
este usaurio es valido??? de ser asi ya se descarto que la pc de este
usuario no este infectada de virus o alguna otra en el dominio???

Slds.

Bryan Calderón M.

Gracias Bryan, pues son diferentes senders, ese es el que mas se repite,
pero no existe en esta organización, el mail del sender no tiene nada que
ver con mi dominio.

Hice un procedimiento para purgar las colas del conector smtp
http://support.microsoft.com/kb/324958/es#6 y de manera impresionante se
están acumulando mas de 1000 mails cada 10 minutos, llevo mas de 400,000 y
siguen creciendo, no veo como se están generando tantos, esto esta muy
extraño!!

Alguna recomendación?

"Bryan Calderon M." escribió en el mensaje de
noticias:
Mostrar la cita

On 22 abr, 13:27, Daniel Torres Hernández
wrote:
Mostrar la cita

Muchas Gracias Bryan!

Ya me habia dado una vuelta por el blog de pablo y active el recipient
filter como ahi lo marca, tambien verifique mis opciones del relay del
SMTP
y del conector, ambos están bien, ya no se de donde se me esta metiendo
el
spam, verifique la prueba del abuse.net y el resultado es:

Relay test result
All tests performed, no relays accepted.

subi una imagen de las colas ahttp://www.creativeplanet.com.mx/scam.gif,
estan incrementando a cada momento, no se
como se esta generando!

Ya active el log para que vea si es algun usuario pero no se genera el
evento 1708, lo que hice fue:

Determine whether an authenticated user is relaying
This section enables logging in the Windows Event Viewer such that any
authentication attempts against the SMTP service (successful or failures)
are logged in the application log.
Start Exchange Administrator.
Double-click Servers.
Under Servers, right-click ServerName, and then click Properties.
Click the Diagnostic Logging tab.
Click MSExchangeTransport on the left.
On the right, click SMTP Protocol.
Under Logging Level, click Maximum.
Click OK to close Server Properties.
If a remote user is authenticating against the Small Business Server
computer as part of an operation to relay SMTP e-mail, you will see an
event
that is similar to the following in the application log:
Event Type: Information
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 1708
Date: 8/13/2003
Time: 10:13:24 AM
User: N/A
Computer: SERVER
Description: SMTP Authentication was performed successfully with client
remote_computername. The authentication method was LOGIN and the username
was company\username.

Pero nada, los mails siguen multiplicandose y el rendimiento del servidor
esta muy afectado, ojala alguien sepa que puedo hacer porque si no tendre
que reinstalar el servidor.

Sera alguna vulnerabilidad? habra algun fix?

Saludos!!

Vi en un docto de ms
"Bryan Calderon M." escribió en el mensaje de
noticias:



> On 20 abr, 16:25, Daniel Torres Hernández
> wrote:
>> Hola!

>> Tengo un server exchange 2003 al cual hace unos d as empec a recibir
>> avisos
>> de que estaba mandando spam, revise las opciones de relay y hab a un
>> par
>> de
>> direcciones IP agregadas, no se como se agregaron pero ah estaban,
>> solo
>> yo
>> administro este server.

>> Las quite inmediatamente y revise las opciones de relay del smtp y del
>> conector smtp, ambos casos estaba correcto.

>> Borre los mensajes de las colas y pens que ya hab a quedado resuelto.

>> Hoy que me fijo tengo una cantidad enorme de mails en las colas, hay
>> una
>> cola que es 112.org, en esta todos los mensajes son de postmaster, y
>> asi
>> como los borro se siguen apareciendo miles.

>> Active el recipient filtering en la mensajeria y en el SMTP pero aun
>> asi
>> siguen apareciendo miles de correos de postmaster.

>> En otras colas como la de yahoo.com ah tengo igual cientos de correos
>> de
>> spam, que as como borro siguen apareciendo, incluso con el smtp en
>> pausa,
>> los correos casi todos son del sender Mr. Ricardo Lewis
>> , no entiendo como est n cayendo tantos correos!

>> Alguien sabe a que se debe?

>> Mil Gracias de antemano!

>> Saludos!!

>> Daniel Torres
>> Mexico

>http://www.eseutil.net/blog/las-col...mensaje...

> Slds,

> Bryan Calderón M.- Ocultar texto de la cita -

- Mostrar texto de la cita -

Con todo gusto Daniel, esta un poco extraño el tema.arriba veo que
comentas que la mayoria de los correos el sender es "Ricardo Lewis",
este usaurio es valido??? de ser asi ya se descarto que la pc de este
usuario no este infectada de virus o alguna otra en el dominio???

Slds.

Bryan Calderón M.

Daniel puedes realizar un monitoreo de trafico hacia el exchange con
Network Monitor o Wireshark, asi se podria identificar de que IP estan
llegando estos ataques de spam y de repente podriamos tomar las
medidas del caso.

Slds,

Bryan Calderón M.