Spam'ler Hakkında

Merhaba,

Smtp üzerinden istediğiniz bir adresi görünen ad veya cevaplanacak adres olarak gösterip attırabilirsiniz. Bu tarz programlar piyasada oldukca çok. Bununla birlikte bir mail hesabı kullanarak outlook üzerinden de mail atabilirsiniz. Outlook üzerinden attığınız takdirde sadece görünen ad ve yanıt adresi değişiklik gösterecktir. Aslında mailin içerisinde yer alan ayrıntılarda bu açık olarak gözükmektedir.

Mevcut durumunuzda ilk akla gelen 2 seçenek ön görülmektedir. Bunlardan birincisi mail atılan adresin şifresinin tespit edildiği diğer seçenek ise network ortamındaki bir bilgisayarın zombi olduğudur. Bu durumda yapılacak bir iki önerim var. İlk başta spam listelerine girip girmediğinizi kontrol edin ki genellikle zombi olan bilgisayar sizin hesablarınızla dış dünyaya spam yapıyordur. İkincisi tüm bilgisayarlarınızı güncelleme işlemi yapılmış bir antivirüs programı ile tamamen (full) tarama yaptırmanızdır. 

Merhaba aynı sorun bendede var  Exchange server 2003 ve outlook 2003 kurulu ve aynı zamanda her bilgisayarda antivirüs kurulu ve güncel. . Ayrıca bana sanki ben atmışım gibi emailler geliyor kendi adresimden !

Yine birkaç kişiyede sanki kendi kendilerine mail atmışlar gibi bu tür spam reklamlar geliyor .Ayrıca mesela x kişisinin dışardan mail almasını engelledim delivery restrictions ayarlarıyla oynayarak ama sürekli system administratordan kendisine mesaj geliyor , mesaj gitmedi diye , halbuki kendisi böyle bir mesaj atmıyor . Error mesajlarının body kısmındaki Konulara baktığımda ise önceki spam maillerin aynısı yazıyor konu kısmında . Bundan nasıl kurtulabilirim ? Symantecin mail security sini mi kursam
yoksa gfi nin mail securitysinin mi ? Hangisini kurmamı ve neler
yapmamı tavsiye etmemi söylerseniz çok memnun olurum Teşekkürler .   

Merhaba Kemal Ustura,

Yukarıda verdiğim yanıt sizin içinde geçerlidir. Muhtemelen Client bilgisayarlarınıza virüs bulaşmış izlenimi veriyor bana. Mail sisteminiz içinde her iki ürünüde kullanabilirsiniz ikisede aynı derecede güvenilir programlar.

Evet iki programıda denemeye çalışacağım . Netten araştırırken ise şöyle birşey buldum

http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-040806-0433-99&tabid=1

http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99

ikinci sayfadaki toolu bat dosyası olarak kaydedip çalıştırınca sanki bende sorun çözülmüş gibi oldu ama emin değilim . Yarına kadar bekliyeceğim . Şu ana dek kendi kendime spam mail atmış durumda değilim [H] ve umarım böyle kalır ve sonrada diğer sorunlu bilgisayarlara kurarım ) Sistemimizde yine symantec antivirüs kullandığımız halde böyle olması garip. 

 Yine çok ilginçtirki  yukarda bahsetmiş olduğum ve sadece exchange kullanıcılarından mail alabilecek ve atabilecek , dışa kapalı kullanıcının hesabına sürekli from : system administrator subject : undeliverable body : spamla ilgili bir topic (misal enlargement ,viagra)  geliyor ve rahatsız edecek boyutta onlarca geliyor. Rule ve alertsden ayarladım olmadı , buradan  system administratordan gelen mailleri engelleyebilir miyim ? System administratordan hiç mail almak istemiyorum veya bunu serverdan yapmam lazımsa nasıl yapabilirim ? Bu konuda yardımcı olur musunuz ?

 

 

Maalesef sanki benle dalga geçiyormuş gibi şu anda geldi üstteki mesajımı yazdıktan sonra  iki tane spam viagra içerikli mail sanki kendi kendime atmışım gibi aynen benim adresimden geldi  ...[8o|][:|] Yani symantecin tool uda birşeye yaramadı , geriye mail security kurmak kalıyor sanırım ...

Tekrar Merhaba,

Öncelikle Exchange 2003 tüm güncelleme işlemlerini yapınız. (Tabi daha önce yedek alınız.) Daha sonra portalımız üzerinde yer alan makalelemizde anlatılan relay açıklarının giderilmesi hakkındaki makaleyi okuyup uygulayınız. Daha sonra hem sunucu hemde client bilgisayarlarınızda farklı bir antivirüs yazılımı ile full olarak tarama yapınız. Mutlaka içerde bir bilgisayarda (veya birkaçında) virüs var.

Bahsetmiş olduğunuz viagra mail gönderme sınıntırını ben bir müşterimde rastladım ve bir clientte virüs olduğunu tespit ettim. Bu clientti virüslerden temizledikten sonra sorun giderildi.

Merhaba dediğiniz herşeyi uyguladım

1-symanteci kaldırdım serverlara kaspersky clientlara bitdefender kurdum ve hem server hem clientta 4-5 adet worm/trojan/virus buldum ve temizledim . 

2-Portal üstünde ilgili makaleyi bulamadım ama açılan konularda ve Hakan Uzuner in sitesinde Relay açıkları ve açıkları kapamak la ilgili makaleyi ise uygulamaya çalışsamda orda bahsedilen exchange 5.5 için olan ayarları exchange 2003 server için bulamadım ve uygulayamadım çünkü 2003 deki exchange system manager altındaki exchange admin kısmı makaledekiyle uyuşmuyordu resmi zaten aşağıda  . İlgili makalenin linkini verebilir misiniz ?

 3-Daha sonra GFI Mail Essentials 14 kurdum ve ilgili makaleye göre ayarladım .

4-ve yine  şu iki linkteki söylenenleri uygulamaya çalıştım

http://technet.microsoft.com/en-gb/magazine/2006.01.stopspam.aspx    olmadı

bu linkte ise adım 16 ya kadar geldim sonrasını yapamadım ve yine olmadı .

  http://support.microsoft.com/kb/823157

 

Yani hala kendimden kendime ve birçok kullanıcıdan kendisine spammail gelmekte bazılarının bu junkuna düşmekte benimse inbox a düşmekte . Ayrıca active directory deki userım üzerinde exchange delivery kısmından dışardan bana mail gelmesini engellediğimde sürekli system admin undeliverable mesajı almaktayim ! ki subjecti undeliveriable olan bir mesaj geldiğinde bunu direk silsin diye gfi de keyword girmiştim . ve tüm bunları yapmadan çok daha öncede serverın NRD atmasını kapamıştım . İlgili makaleyi tam anlamıyla uygulayamadığım için  http://www.antispam-ufrj.pads.ufrj.br/test-relay.html

adresinden baktığımda  Ops!!! Host appeared to accept a message relay, but it may or
not may a positive open relay. I need procced a complete test, sending
a test message to probe it. This anonymous user test did not send a
test message.  diyor yani relay var hala

Bu beni çok zor durumda bıraktı  o yüzden bu kadar ayrıntılı yazdım  . Bana bu konuda yardımcı olur ve yönlendirirseniz çok sevinirim . 

Bunlarsa şu anki ayarlarımla ilgili resimler . 

 

Merhaba Kemal Bey,

Exchange System Manager açın buradan Servers - server ismi altındaki Protocols bunun altında yer alan Smtp ve en son Default SMTP Virtual Server özelliklerine girin
Access sekmesine tıklayın buradan Relay kısmına girin
Relay Restrictions penceresinde Only The List Below seçili ve boş olduğundan emin olun.
Allow all computers which successfully authenticate to relay, regardless of the list above kutucuğunu kontrol edin.

Adımlarını uygulayıp kontrol ediniz. Daha sonra tekrar relay testi uygulayıp sonucu paylaşın lütfen.

Rafet bey maalesef hala kendimden kendime geliyor sanırım bu relay hala açık bir kapatamadım. Yukardaki mesajımdaki ayarlarımla ilgili  linkler açılmıyordu onları yeniledim ,ayarlarım ordaki linklerde mevcut  . Acaba yanlış yaptığım bir yer var mı bana başka bir tavsiyede bulunabilir misiniz  ?

Dediğiniz gibi

Only the list below seçili , ve ek olarak  önceden tanımladığım iç ip aralığı listesinide sildim . 

Allow all computers which successfully authenticate to relay, regardless of the list above   kutucuğundaki işareti kaldırdım ve iki sitede test yaptım

  ve  http://www.antispam-ufrj.pads.ufrj.br/test-relay.html adresiyle http://www.rbl.jp/svcheck.php adresinden ilgili testleri yaptım .

antispam ufrj de yapılan 9 testin 8 inde  550 5.7.1 Unable to relay for relaytest%antispam-ufrj.pads.ufrj.br@host-  yazıyordu ve test 9 da ise 

Relay test 9 >>> RSET

<<< 250 2.0.0 Resetting

>>> MAIL FROM: <spamtest@[...]>

<<< 250 2.1.0 spamtest@[[...]....Sender OK

>>> RCPT TO: <"[email protected]">

<<< 250 2.1.5 "[email protected]"@*******.com

>>> QUIT

<<< 221 2.0.0 mailserver.domainim.com Service closing transmission channel

Relay test result :Ops!!! Host appeared to accept a message relay, but it may or not may a positive
open relay.
I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.

  http://www.rbl.jp/svcheck.php ise yaklaşık 20 test yaptı ve relay resultsda 6 relay accepted dedi . diğerleri reddedilmişti . Dİkkatimi çeken sadece şu şekilde yapılan yani sanki kendi domainimden yine kendi domainime atılan testlerde hata verdi(relay accepted!! hatası ) .Kendi domainimden diğer domainlere atılanlarda ise relay reddedildi .

>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM: <[email protected]>
<<< 250 2.1.0 [email protected] OK
>>> RCPT TO: <[email protected]>
<<< 250 2.1.5 [email protected]
relay accepted!!

 

 

 

 

 

Exchange Maneger üzerinde >Message Delivery Properties>Sending Filteringe *@domain.com ekleyip sonra sender filtering uygulayarak sorunu çözebilirsiniz.

Merhaba,

Yapılması gereken ayarlarla ilgili resimleri ve açıklamaları ekliyorum. Buna göre bir düzenleme yapınız.

 

 

 Allow all computers .... şart değil bu bir derece fazla güvenlik içerir bu konuda kendinizi yeterli görmüyorsanız işareti kaldırmayın.

 

Son olarak eğer bir SMTP Connector tanımlamış iseniz Address Space bölümünde en altta yer alan kutucuğun işaretlenmemiş olmasına dikkat ediniz.

Yine de spam mail ve black liste giriyor ve relay açığı gözüküyorsa tüm sistemlerinizin virüslerden temizlendiğine emin olunuz. Gerekiyorsa Spyware Doctor Ent. ile tüm sistemlerinizi tarayınız.

Rafet ve Ercan bey ilginiz ve zahmetleriniz için öncelikle sağolun .

- Rafet bey vermiş olduğunuz ayarları yapmıştım yinede olmadı . Muhtemelen bir virüs kalmış okadar taratmama ve aratmama rağmen . Geriye Spyware Doctor Ent . kalıyor bir tek . 

- Ercan bey sizin dediğinizide uyguladım ve gerçektende kendimden kendime hiç bir mail spam gelmedi )) Diğer saçma adreslerden gelen spamlarsa direk junk maile düşmekteydi .  Hatta Active directory den user name mimi seçip Exchange delivery kısmından accept authenticated usersı seçip mailimi dışardan mail almaya kapatınca bile Non Delivery Report (NDR ) undeliverable subjectl, mesajlar  gelmedi  ! . Temiz bir çözüm ama fazlasıyla temiz çünkü

2 sorun oıluştu

1-işleri gereği pop3 kurulu kullanıcılar hiçbiryere mail gönderemiyorlar ama kendilerine gönderilen mailleri alamıyorlar . Exchange kurulu kullanıcılarda bir sorun yok

 2-HP Digital Sender 9200c makinamız var ve onunda tarayıp bize gönderdiği mailler gelmiyor .

 Bende relay restrictions user --> permissions kısmından  pop3 kullanıcılarını ve digital senderın adreslerini girdim , submit ve relay permissionsı işaretledim .

Fakat mail atmaya çalışınca yine aynı errorler geliyor . 

Outlook Pop3 mail kurulularda  Error mesajı örneği

Normal
0

false
false
false

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0in 5.4pt 0in 5.4pt;
mso-para-margin:0in;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";
mso-ansi-language:#0400;
mso-fareast-language:#0400;
mso-bidi-language:#0400;}

Task [email protected]
reported error (0x800CCC78) Cannot send the message Verify the email address in
your account properties . The server responded 554.5.1.0 Sender denied . 

 

:variable;
mso-font-signature:-1610611985 1107304683 0 0 159 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0in;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman","serif";
mso-fareast-font-family:"Times New Roman";}
.MsoChpDefault
{mso-style-type:export-only;
mso-default-props:yes;
font-size:10.0pt;
mso-ansi-font-size:10.0pt;
mso-bidi-font-size:10.0pt;}
@page Section1
{size:8.5in 11.0in;
margin:70.85pt 70.85pt 70.85pt 70.85pt;
mso-header-margin:.5in;
mso-footer-margin:.5in;
mso-paper-source:0;}
div.Section1
{page:Section1;}
-->

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0in 5.4pt 0in 5.4pt;
mso-para-margin:0in;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

Normal
0

false
false
false

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0in 5.4pt 0in 5.4pt;
mso-para-margin:0in;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";
mso-ansi-language:#0400;
mso-fareast-language:#0400;
mso-bidi-language:#0400;}

Bu sorunla siz karşılaştınız mı ve pop3lülerde bu sorunu nasıl çözdüğünüzü paylaşabilir misiniz ?

 

Not :

 

Relay Testler de

 

Relay test 1

>>> RSET

<<< 250 2.0.0 Resetting

>>> MAIL FROM: <[email protected]>

<<< 250 2.1.0 [email protected] OK

>>> RCPT TO: [email protected]

<<< 550 5.7.1 Unable to relay for [email protected]

Relay test 2

>>> RSET

<<< 250 2.0.0 Resetting

>>> MAIL FROM: <spamtest>

<<< 554 5.1.0 Sender Denied

Relay test result

I couldn't performed all tests, please test the remote host again.

 

ÖTEKİ RELAY TEST

>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM: <[email protected]>
<<< 250 2.1.0 [email protected] OK
>>> RCPT TO: <[email protected]>
<<< 550 5.7.1 Unable to relay for [email protected]
relay NOT accepted!!

Relay test 1

>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM: <rlychk>
<<< 554 5.1.0 Sender Denied
relay NOT accepted!!

Relay test 2

>>> RSET
relay NOT accepted!!. ........................................................................

Relay test 19

>>> RSET
relay NOT accepted!!

Relay test result

All tests performed, no relays accepted.

 

 

 

 

 

 

 

 

Merhaba Kemal Bey,

Ercan Bey'in önerdiği yöntemden sonra bu iki sorun oluştu ise lütfen o ayarı geri alın. Relay testleriniz temiz görünüyor. Yani şuan relaya açık yok. Siz sorunu içeride aramaya devam edin. Bu arada tüm kullanıcıların temiz olduğundan emin olduktan sonra passwordları değiştirin.

Aradan baya zaman geçmiş ama ben yine de yazayım 🙂

Bu konu da iki ay boyunca neler çektiğimi kimse tahmin edemez…

Senin durumun yine iyi diyebilirim! Sanırım black listlerde bu sorunun yüzünden blocklanmıyorsun, o yüzden sadece sıkıntın hakkında bilgi vermeye çalışacağım.

Kendi alan adın ile sana düşen maillerin ilk başta ileti seçeneklerine göz atarsan senin alan adını kullanan fakat farklı IP adreslerine sahip olan mailler olduklarını görebilirsin. İlk olarak Exchange üzerinde connection filter kullanmak bir çözüm lakin bunu domain adı kullanarak değil RBL databaselerini kullanarak yapmanı tavsiye ederim. Bu sayede birçok dışarıdan sana atılan kendi alan adlı maillerinden ve diğer spam maillerden kurtulacaksın.

İkincisi kesinlikde ANTİSPAM programı olarak sunucu kısmında Mcafee Group Shield 4.0 yada üstü kullanman (tabi konfigurasyonları yapabilecek yada yaptırabileceksen).

Kullanıcılara kesinlikle admin haklarını tanıma, en fazla poweruser.

Firewall’un varsa sadece sunucunun SMTP 25 portunu kullanacak şekilde kural oluştur.

POP3 bağlantılı mail hesaplarında SMTP portunu 587 yap.

Ve son vuruş MX kaydı yeterli değil, SPF kaydı da hosting hizmeti aldığın yere söyle yapsınlar 🙂

Ben hem blacklistere hemde günde 6000 kadar spam mail alan bir gariban olarak uzun süre bunun savaşını verdim ve şu anda Allah’ın izniyle anlamın akıyla çıktım bitirdim işi.

Umarım bunun gibi rezalet ötesi bir durumda kimse kalmaz…

Çok zor bir durum.