VK
Vladislav Rudoy
Круто!
Size: a a a
2020 January 29
VR
А как по вопросам? Курс помог? Или опыт уже был?
Опыт был, но курс важен!
К
Добрый вечер, коллеги, офтоп:)
Есть Exchange(Цод) и Exhange(ЦО) все это в DAG. Оба Exchange настроены идентично, за одним но.
Цод смотрит просто виндой наружу и впн в ЦО. ЦО стоит за Mikrotik и NAT. Все пробросы есть, все в целом работает так как и должно, почта ходит.
Но опять же но. IP Который в ЦОД чистый и все с ним хорошо. IP который в ЦО постоянно(каждые 20-40 минут) улетает в spamhous.
Замечу, что опен релей закрыт. SPF прописан, DMARC прописан, PTR тоже есть.
Ответ Spamhous сегодня добил мой мозг окончательно.
Оказывается с моего IP были попытки отправить почту с левых FQDN(27 штук*WALL*) в логах конечно ничего интересного не нашел.
Вопрос: каким тогда боком? куда копать? что я не закрыл? и что могло пойти не так?
то что я рукожоп и так понятно)
Есть Exchange(Цод) и Exhange(ЦО) все это в DAG. Оба Exchange настроены идентично, за одним но.
Цод смотрит просто виндой наружу и впн в ЦО. ЦО стоит за Mikrotik и NAT. Все пробросы есть, все в целом работает так как и должно, почта ходит.
Но опять же но. IP Который в ЦОД чистый и все с ним хорошо. IP который в ЦО постоянно(каждые 20-40 минут) улетает в spamhous.
Замечу, что опен релей закрыт. SPF прописан, DMARC прописан, PTR тоже есть.
Ответ Spamhous сегодня добил мой мозг окончательно.
Оказывается с моего IP были попытки отправить почту с левых FQDN(27 штук*WALL*) в логах конечно ничего интересного не нашел.
Вопрос: каким тогда боком? куда копать? что я не закрыл? и что могло пойти не так?
то что я рукожоп и так понятно)
NN
Добрый вечер, коллеги, офтоп:)
Есть Exchange(Цод) и Exhange(ЦО) все это в DAG. Оба Exchange настроены идентично, за одним но.
Цод смотрит просто виндой наружу и впн в ЦО. ЦО стоит за Mikrotik и NAT. Все пробросы есть, все в целом работает так как и должно, почта ходит.
Но опять же но. IP Который в ЦОД чистый и все с ним хорошо. IP который в ЦО постоянно(каждые 20-40 минут) улетает в spamhous.
Замечу, что опен релей закрыт. SPF прописан, DMARC прописан, PTR тоже есть.
Ответ Spamhous сегодня добил мой мозг окончательно.
Оказывается с моего IP были попытки отправить почту с левых FQDN(27 штук*WALL*) в логах конечно ничего интересного не нашел.
Вопрос: каким тогда боком? куда копать? что я не закрыл? и что могло пойти не так?
то что я рукожоп и так понятно)
Есть Exchange(Цод) и Exhange(ЦО) все это в DAG. Оба Exchange настроены идентично, за одним но.
Цод смотрит просто виндой наружу и впн в ЦО. ЦО стоит за Mikrotik и NAT. Все пробросы есть, все в целом работает так как и должно, почта ходит.
Но опять же но. IP Который в ЦОД чистый и все с ним хорошо. IP который в ЦО постоянно(каждые 20-40 минут) улетает в spamhous.
Замечу, что опен релей закрыт. SPF прописан, DMARC прописан, PTR тоже есть.
Ответ Spamhous сегодня добил мой мозг окончательно.
Оказывается с моего IP были попытки отправить почту с левых FQDN(27 штук*WALL*) в логах конечно ничего интересного не нашел.
Вопрос: каким тогда боком? куда копать? что я не закрыл? и что могло пойти не так?
то что я рукожоп и так понятно)
небольшое уточнение, исходящие с 25/587 разрешены только с Exchange(ЦО) или с любого IP, который за nat'ом?
К
сегодня закрыл 25\587, оставил возможность слать только с IP SMTP сервера за натом, ситуация не поменялась никак
MO
Исходящие могут быть и с другого порта 👀
NN
кстати да, смотря как выстроишь свой "подменный" SMTP-сервер, как вариант мог был быть вирус, который иммитирует работу SMTP сервера и разсылает спамы налево и направо
MO
Добрый вечер, коллеги, офтоп:)
Есть Exchange(Цод) и Exhange(ЦО) все это в DAG. Оба Exchange настроены идентично, за одним но.
Цод смотрит просто виндой наружу и впн в ЦО. ЦО стоит за Mikrotik и NAT. Все пробросы есть, все в целом работает так как и должно, почта ходит.
Но опять же но. IP Который в ЦОД чистый и все с ним хорошо. IP который в ЦО постоянно(каждые 20-40 минут) улетает в spamhous.
Замечу, что опен релей закрыт. SPF прописан, DMARC прописан, PTR тоже есть.
Ответ Spamhous сегодня добил мой мозг окончательно.
Оказывается с моего IP были попытки отправить почту с левых FQDN(27 штук*WALL*) в логах конечно ничего интересного не нашел.
Вопрос: каким тогда боком? куда копать? что я не закрыл? и что могло пойти не так?
то что я рукожоп и так понятно)
Есть Exchange(Цод) и Exhange(ЦО) все это в DAG. Оба Exchange настроены идентично, за одним но.
Цод смотрит просто виндой наружу и впн в ЦО. ЦО стоит за Mikrotik и NAT. Все пробросы есть, все в целом работает так как и должно, почта ходит.
Но опять же но. IP Который в ЦОД чистый и все с ним хорошо. IP который в ЦО постоянно(каждые 20-40 минут) улетает в spamhous.
Замечу, что опен релей закрыт. SPF прописан, DMARC прописан, PTR тоже есть.
Ответ Spamhous сегодня добил мой мозг окончательно.
Оказывается с моего IP были попытки отправить почту с левых FQDN(27 штук*WALL*) в логах конечно ничего интересного не нашел.
Вопрос: каким тогда боком? куда копать? что я не закрыл? и что могло пойти не так?
то что я рукожоп и так понятно)
А левых это каких ? Может какие либо службы шлют с имяпользователя@имякомра
NN
остается, наверно, мониторить пакеты, наверняка все сделано без ssl-терминации и отловить виновника можно будет
К
is listed in the CBL, it tried to send email using too many different domains in the HELO (domains: 27, FQDNs: 27, list:
4yx4y.twitchier.8styhz6gamf04,77t5n0ee7536o7d1.latton.ezfb469,cclklowqfacqaqq.com,cpoeykwfozghnlr.com,doquvjqyppwmffx.com,dtqepdrmpqzidif.com,exnwiaqtkffblzt.com,grulxcxeqdybzim.com);
4yx4y.twitchier.8styhz6gamf04,77t5n0ee7536o7d1.latton.ezfb469,cclklowqfacqaqq.com,cpoeykwfozghnlr.com,doquvjqyppwmffx.com,dtqepdrmpqzidif.com,exnwiaqtkffblzt.com,grulxcxeqdybzim.com);
К
не думаю, что службы)
MO
Поставьте дамп трафика, узнаете с каких внутренних ip
MO
сегодня закрыл 25\587, оставил возможность слать только с IP SMTP сервера за натом, ситуация не поменялась никак
Может как то не так закрыли или порядок не тот
К
дамп ставил, очень быстро забились где то за минуту 10мб, может это не о чем конечно) но напрягло, что dst был 1, а src только сервак
MO
Netstat на серваке , и отфильтруйте по назначению
АА
думается мне нужно не исходящий порт закрывать. запретить соединения на dst-port 22,587,465. исходящий может быть любой, а вот smtp-сервера принимают только на них
К
сейчас поставил такие правила на микроте, улетел 1 местный, остальные внешние
К
причем, ултелели в первые 2-3 минуты
АА
пора разбавить сегодняшние мысли.