公司因為經費考量...一直沒有使用任何的antispam機器

一直在賭這個機率

昨天很不幸的

公司的IP終於在運轉五年後被掃到了

目前被狂轟炸中....

開這篇文持續追蹤與紀錄處理的過程

以下陸續更新

 

==========

首先先接到了來自mailserver的警告信

內容如下:

很多郵件目前擱置在電子郵件伺服器傳送佇列中。

請確認您的網際網路連線功能。如果您能正常的瀏覽網站,請與您的網際網路服務提供者 (ISP) 連絡以判定他們的電子郵件伺服器是否有問題。


您可以停用此警示或使用伺服器管理中監視及報告工作台的變更警示通知功能,變更其閾值。

並在頻寬管理器中發現聯接數量高到驚人的狀態

Mailserver.JPG

蘇佬提示小弟...可能被垃圾信轟炸了...

導致佇列內退信過多造成塞車

於是小弟前去查看了一下...果然...這些垃圾信公司會不會太沒職業道德了一點

狂轟我的server讓它當(但是一想到如果被當跳板這樣是正常的就算了...努力吧!!!)

於是我找到了下面這個網址大家可以照運作

http://support.microsoft.com/default.aspx?scid=kb;zh-tw;324958#6

這方法可以將佇列內一堆有的沒的砍不完的垃圾都拿掉

==========

因為公司沒有對server端的antispam

所以在短時間沒有可利用的軟體之下...我使用user端的spam軟體來進行一晚的緊急處置

先使用Outlook2010將公司所有的帳號都掛到我的工作機台上

再一次性的進行連接過濾...一晚之後...目前佇列沒有如昨天一樣瘋狂的激增

不排除是因為國外現在是睡覺(下班)時間...所以增購server端的antispam仍然要火速進行

 

=====這次更新是來證明我是大豬頭的=====

為何這樣說...因為我完全忘了導入DNSBL(自己撞牆去)

導入的程序記錄於下...

原文轉載自 不自量力 の Weithenn

------------------------------------------------------------------------------------------

前言

如果公司使用 Exchange Server 2003 而目前還沒找到適合的擋垃圾信機制 (或經費不夠?) 其實 Exchange Server 2003 就具備可以擋垃圾信機制 (寄件者篩選、收件者篩選、連線篩選),其中寄件者篩選、收件者篩選我想是沒什麼用了,這次要說的是設定 連線篩選 其實只要設對連絡即時封鎖清單 (Realtime Block List,RBL) 的提供者,就可減少大約 80% 左右的垃圾信了,本次實作為設定目前最有名的 [Spamhaus] 至 RBL 內。

在使用前先大概了解一下 [Spamhaus] 擋垃圾信的三大方式 (SBL、XBL、PBL)。

  • SBL(Spamhaus Block List)
    • SPAM Source 清單 (verified spam sources and spam operations)
    • Return Codes:127.0.0.2
  • XBL(Exploits Block List)
    • 中毒或被入侵或當成跳板的清單 (worms/viruses with built-in spam engines, and other types of trojan-horse exploits.)
    • Return Codes:127.0.0.4 ~ 8
  • PBL(Policy Block List)
    • 使用動態 IP 卻又當 MTA 的清單 (end-user IP address dynamic and non-MTA customer IP ranges)
    • Return Codes:127.0.0.10 ~ 11

你可以依照你的需求來導入適合的 Block List,當然若是想三個都使用就設定最新的 [Spamhaus ZEN],它是直接結合 (SBL、XBL、PBL) 也就是你只要設定 [ZEN] 就等於擁有了 SBL、XBL、PBL。

安裝及設定

步驟1.切換至連線篩選
  1. 開啟【Exchange System Manager】
  2. 選擇【通用設定】
  3. 選擇【郵件傳遞】
  4. 按下【右鍵】
  5. 選擇【內容】
  6. 切換至【連線篩選】標籤頁
步驟2.新增連線篩選規則及傳回狀態碼 (Return Codes)

以下表格為若使用 SBL、XBL、PBL、SBL+XBL、ZEN 時,該如何填寫對應的傳回狀態碼 (Return Codes),等一下設定時會用到

顯示名稱
提供者的 DNS 尾碼
傳回狀態碼 (Return Codes)

Spamhaus SBL
sbl.spamhaus.org
127.0.0.2

Spamhaus XBL
xbl.spamhaus.org
127.0.0.4-8

Spamhaus PBL
pbl.spamhaus.org
127.0.0.10-11

Spamhaus SBL+XBL
sbl-xbl.spamhaus.org
127.0.0.2-8

Spamhaus ZEN
zen.spamhaus.org
127.0.0.2、127.0.0.4-8、127.0.0.10-11

開始來新增 Spamhaus ZEN 至 Exchange 的連線篩選規則 (RBL) 內吧

  1. 切換至【連線篩選】頁面後,按下【新增】
  2. 填寫連線篩選規則
    1. 填寫【顯示名稱】此例填入【Spamhaus ZEN】,此欄位只是 RBL 的識別名稱而以 (假如你的 RBL 名單很多的話)
    2. 填寫【提供者的 DNS 尾碼】此例填入【zen.spamhaus.org】,此欄位為屆時 Exchange 要去跟誰要 Block List
    3. 填寫【傳回狀態碼 (Return Codes)】填入你所設定的 Block List 所對應的 Return Codes 吧,本例我是填入【127.0.0.2、127.0.0.4-8、127.0.0.10-11】

2-1.連線篩選頁面 2-2.連線篩選規則 2-3.傳回狀態碼

步驟3.啟用連線篩選功能

設定好連絡即時封鎖清單 (Realtime Block List,RBL) 功能後,我們要設定 SMTP Virtual Server 啟用這個功能才會正式讓連線篩選功能生效,以下步驟為如何啟用連線篩選功能:

  1. 開啟【Exchange System Manager】
  2. 選擇【系統管理郡組】
  3. 選擇【伺服器】
  4. 選擇【通訊協定】
  5. 選擇【SMTP】
  6. 選擇【SMTP Virtual Server】
  7. 按下【右鍵】
  8. 選擇【內容】
  9. 選擇【一般】
  10. 按下【進階】
  11. 選擇【編輯】,勾選【套用連線篩選器】後按下【確定】即可

啟用連線篩選功能

步驟4.確定 RBL 是否設定正確

上述 3 個步驟都完成後,你可以試著把信寄給 nelson-sbl-test@crynwr.com 信箱,它是個系統機器人(System robot)

 它會確定你剛才在 Exchange 中所設定的 Block List 功能是否正確 (你的 Exchange 能不能正確跟 Spamhaus ZEN 溝通)。

步驟5.設定其它 DNSBL 網站

經過實際測試導入 [Spamhaus ZEN] 之後垃圾信大約減少 80% 左右,如果覺得還不夠也有其它的 RBL 可以導入方法都如同上述設定一樣。

無法收到朋友的信?

若是你收不到某個人寄來的信你可以到 [Spamhaus ZEN] 輸入對方的 IP 然後按下 Lookup IP,就可查尋該 IP 是不是被 [Spamhaus]列入黑名單,當然你也可以幫忙回報黑名單 IP。

若你朋友被 [Spamhaus] 列入黑名單中但你又想收到他的信該如何設定?請在 Exchange 中設定【全域接受與拒絕清單組態】將你朋友的 IP 設定進去即可。

參考

[如何在 Exchange 2003 中設定連線篩選以使用即時封鎖清單 (RBL) 以及如何設定收件者篩選]

[How can I configure Exchange Server 2003 to block spam?]

[How can I configure Exchange 2003 to block unsolicited commercial e-mail (spam) with Intelligent Message Filter?]

[常用的RBL服務器列表及介紹 - 反垃圾郵件技術 - 郵件服務器-郵件系統-郵件技術論壇(BBS)]

[The Spamhaus Project - SBL - How to use the SBL]

[Spamhaus 的情況 at Gea-Suan Lin’s BLOG]

[Spam Links - dnsbl lookup]

[The Spamhaus Project - ZEN]

[TANet ANTI-SPAM]

[OPEN PROXY test]

 

=====這是持續更新=====

當然了...光是這樣還是不夠的...

因為spamer仍然可以利用一些機會穿過防火牆將自己偽裝為IP分享器下的一員

所以接下來我在高手鴨鴨的建議下...決定再對Relay項目進行一兩個設定來進行保護

首先路徑為下

smtp4.JPG

於SMTP server那右鍵內容後叫出轉送設定

smtp5.JPG

在電腦處點選新增

smtp6.JPG

我新增了紅框與黃框的內容

紅框設定可以避免非公司內部IP利用mailserver發信(我將外部發信需求者都要求先經過VPN)

黃框設定則是為避免spamer利用IP分享器取得區網IP後進行發信的行為...所以我利用此設定限定必需為本公司網域登錄者才可以使用

smtp3.jpg

設定完成後結果如下(我不小心把對應顏色上錯了...大家就注意一下嚕)

再確定前要記得把圖內方型空格的勾拿掉

再來點選使用者

SMTP.JPG

在這邊我將使用權進一步縮小為必需能登入mailserver的使用者

當然如果狠一點可以將使用者的帳號一個個擺上去(只是未來新增帳號會很麻煩)

SMTP2.JPG


以上都完成後...觀察到目前約十八小時...沒有再被艘擾了...報告完畢


Posted by 傻瓜狐狸 at 痞客邦 PIXNET Guestbook(0) 人氣()