Question

Que tal buenas tardes.

Recurro a ustedes porque tengo un problema con mi servidor de correo y ya me esta causando graves errores. Lo que pasa es que desde hace unos días hemos detectado que en la cola de salida del servidor se envían correos masivos hacia diferentes dominios pero todos desde el remitente "Poste IT <info@poste.it>" el cual obviamente no es un usuario de mi red ni mucho menos es mi dominio.

Que puedo hacer, donde revisar??? He revisado que mi servidor no esté como OpenRelay y todo es correcto solo que ya me esta ocasionando problemas con diversos dominios ya que sitios como Barracuda me han enlistado en listas negras por aparentar ser un servidor de Spam.

Gracias de antemano y espero alguién de la comunidad me pueda echar una mano.

Saludos.

Answer 1

haz un escaneo de la red en busca de malware, y revisa la configuracion de exchange para que solo deje salir mails desde usuarios del dominio, todo lo que sea no reconocido por la libreta de direcciones interna no permitira salir, eso lo configuras en el send connector, en el scope.

revisa en tu exchange las conexiones SMTP al puerto 25 o desde la cola a ver que IP origina ese mensaje y ahi te daras cuenta desde que IPs de tu LAN proviene el mensaje o conexion y pasales un anti-malware y un scan completo de rootkits y antivirus. Puedes de mientras bloquear con el antivirus si este tiene la capacidad el puerto 25.

Puedes crear un email address policy para que cuando detecte ese remitente no envie ni haga nada o si quieres que haga un blucle y lo envie internamente a una casilla destina bulk@tudominio.com para su posterior analisis a ver quien esta infectado en tu LAN.

Puedes hacer muchas mas cosas pero empieza ordenadamente, quiza yo te lo desordene un poco en explicarte, pero intentalo !!

Exitos..

Comments

Gracias por tus amables comentarios Gustavo.

Hice algunas de tus recomendaciones pero no me han llevado a una buena resolución y no porque no sean buenas alternativas si no que me he quedado estancado en pasos intermedios. Por ejemplo, estuve revisando las conexiones SMTP y si varios servidores conectados desde dominios ajenos pero no se como utilizar esa información para bannearla o denegarle el acceso, generalmente hacen la conexión siguiente:  (miservidor):37762      host13-205-110-95.serverdedicati.aruba.it:smtp.

Por otro lado, no supe como realizar una politica de correos para filtrado de remitentes, ya que el wizard del exchange 2003 no me da muchas opciones.

Sigo intentando y reporto los avances, gracias !