Forum

Bildirimler
Hepsini Temizle

[Çözüldü] Localdeki Mail sunucunun dışarıya spam basması

savaş ateş
(@savasates)
Üye

Merhabalar,

Şirket altyapısında kullanılan icewarp mail sunucumuz üzerinde son zamanlarda spam maili gönderme sorunu yaşanıyor.

Şöyleki sunucu loglarına baktığımızda bizim domain uzantısı kullanılıp mailler dışarıda farklı adreslere gönderiliyor.

 

mail şifresi çalındı desem diyemiyorum çünkü böyle bir hesap sunucuda mevcut değil.

 

domain uzantım "[email protected]" adresinden spam basıyor, fakat benim böyle bir user kullanıcım yok.

Geçende "[email protected]" adresinden dışarıya spam gönderirken yakaladım.

muhasebe2

 

Sunucumda böyle bir kullanıcı maili tanımlı değilken nasıl oluyorda sunucum üzerinden farklı mail adreslerine spam basabiliyorlar. ?

Bu durumun mantıklı bir açıklaması var mı ? Görüşlerinizi paylaşırsanız sevinirim.

 

Not : Lokasyonumda kullanılan tüm bilgisayarlar ve sunucular

Kaspersky ile korunup hepsi temiz görünüyor.

Ayrıca Relay açık değil.

Teşekkürler.

Alıntı
Konu başlatıcı Gönderildi : 27/10/2021 10:59
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Hesabın olmasına gerek yok, yetkili bir hesap ise relay yapabilir, yani olmayan bir hesap üzerinden mail gönderebilir. Özetle iki şey olabilir

1 - Relay açığınız var, yani dış dünyaya karşı bir zafiyet bunu test edin.

Email Server Test - Online SMTP diagnostics tool - MxToolbox

2 - Şifrenizi birisi almış, herhangi bir kullanıcı olabilir ondan rahatlıkla relay yapıyor ya da bir virüs bulaşmış bunun çözümüde connection loglarına bakmanız, yani siz smtp loglarına bakıyorsunuz, o saate o connection hangi ip den geliyor ise sorunlu makineyi ve hesabı bulabilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/10/2021 14:31
savaş ateş
(@savasates)
Üye

Hakan Bey,

 

Dediğim gibi Relay kapalı, İcewarp içinde connection log diye birşey göremedim.Relay kapalı ve tüm sistem temiz görünüyorsa bu işin nasıl yapıldığını bulmakta ayrı bir olay sanırım.

 

notrelay
CevapAlıntı
Konu başlatıcı Gönderildi : 27/10/2021 15:11
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Tabi bu da ayrı bir uzmamlık. Exchange de connector loglarından biz anında bulabiliyoruz  PS ile ama bu ürünün connection logları nerededir bakmanız lazım. Ama Exchange den daha basit olduğuna eminim.

 

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/10/2021 15:32
savaş ateş
(@savasates)
Üye

Hakan Bey,

Bu nedir allah aşkına yüzlerde ip blokladım adamlar bıkmadan usanmadan sunucuma geliyorlar. Bunun çözümü nedir nasıldır fikriniz var mı ?

Ayrıca bu logu nasıl okursunuz ? (böyle bir user adresim yok)

 

45.133.1.100 [1A10] 2058 Connected, local IP=172.16.1.11:25
45.133.1.100 [1A10] 2000 >>> 220 mail.benimdomain.com.tr ESMTP IceWarp 12.0.2.0 x64; Tue, 02 Nov 2021 2000 +0300
45.133.1.100 [1A10] 2000 <<< EHLO [45.133.1.100]
45.133.1.100 [1A10] 2000 >>> 250-mail.benimdomain.com.tr Hello [45.133.1.100] [45.133.1.100], pleased to meet you.
250-ENHANCEDSTATUSCODES
250-SIZE 25165824
250-EXPN
250-ETRN
250-ATRN
250-DSN
250-CHECKPOINT
250-8BITMIME
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM GSSAPI
250-S
45.133.1.100 [1A10] 2000 <<< AUTH LOGIN
45.133.1.100 [1A10] 2000 >>> 334 VXNlcm5hbWU6
45.133.1.100 [1A10] 2000 <<< c2VydmljZQ==
45.133.1.100 [1A10] 2000 >>> 334 UGFzc3dvcmQ6
45.133.1.100 [1A10] 2000 <<< c2VydmljZTIy
45.133.1.100 [1A10] 2003 Authentication [SMTP] - Result=0, [email protected], Method=0
45.133.1.100 [1A10] 2003 >>> 535 5.7.8 Authentication credentials invalid
45.133.1.100 [1A10] 2003 <<< QUIT
45.133.1.100 [1A10] 2003 >>> 221 2.0.0 mail.benimdomain.com.tr closing connection
45.133.1.100 [1A10] 2003 *** <> <> 0 0 0000 INCOMPLETE-SESSION
45.133.1.100 [1A10] 2003 Disconnected

CevapAlıntı
Konu başlatıcı Gönderildi : 02/11/2021 20:55
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Local IP'e odaklanmanız gerekir burdan başka pek birşey çıkmaz.
Üründe açığınız olabilir isterseniz icewarp dan support alıp inceletebilirsiniz. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/11/2021 22:25
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Savaş Bey, SMTP GW ürünü olmadan mail sunucunuzu koruyamazsınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/11/2021 23:33
savaş ateş
(@savasates)
Üye
Gönderen: @hakanuzuner

Savaş Bey, SMTP GW ürünü olmadan mail sunucunuzu koruyamazsınız.

Sophosumda böyle bir özellik varmış.En kısa sürede Sophos GW yapacağım.Yardımlarınız için teşekkürler.

 

CevapAlıntı
Konu başlatıcı Gönderildi : 03/11/2021 09:54
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Rica ederim. UTM üzerindeki bu özellikler sınırlıdır. Ondan ona çok güvenmeyin, ama hiç olmamasından iyidir tabi.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 03/11/2021 10:40
Paylaş: