Exchange 2003轉送(Mail Relay)設定有漏洞

話說昨天發現公司Exchange Server不正常,連入一看~媽呀,怎麼SMTP有一堆連線!而且每秒都有數筆到數十筆數SMTP連線,而且"佇列"中有一堆發不出去信,而且查了佇列中的信件,我非常確定都是"廣告信"、"色情信"之類。


Exchange SMTP Session

呀!怎麼會這樣,我們的Mail Server被當成轉寄跳板。但查Log看起來都是正常連線,連線IP是內網的IP,所以我們在Exchange中轉送(mail Relay)限制設定不會擋下此IP的轉送。但非常怪奇的是這個內網IP是我們的Gateway Router,Router也會中毒發垃圾信嗎?不"太"可能!

內網有人中毒嗎?公司所有電腦都有安裝防毒軟體,但不無可能,我緊急發出通知,中斷所有Client網路,只留下Exchange與Router的線路,原本想一台一台找是那一台Bingo了,結果"嚇一跳",Exchange的SMTP還在發信,Server中毒嗎?被入侵嗎?直覺是不太可能,Service Pack我都有乖乖上,而且有防火牆保護,防毒軟體也正常運作,沒有任何中毒訊息,實在看不出有任何異狀!!!


我一直在想那個連線IP的問題。看著看著想出了原因。各位先參考這篇「如何開啟 Exchange 的轉送設定(Mail Relay)」最後第五點的圖片,你會發現它是設定整個網段,而Exchange 2003的資料也是這樣教,那當然我們就這樣設,而且"多年"來也沒出事。

今日不出事,不代表明天就沒事。

原因很簡單:Spamer → Router → Mail Relay Server

這些Spamer會一直Scan網路上所有的Mail Server,然後找「替死鬼」,也就是Mail Relay有問題的Mail Server,然後透過這些Mail Server來幫忙來寄送垃圾信,人家反查時就會查出「人是你殺」(台)這種戲情!

從Router Forward進來的封包會帶「Router內網的IP」,而Router的內網IP也含在整個網段裡,所以Exchange Server認為是正常的要求就幫你轉寄了。Spamer成功達到目的,而我也成為受害者。

最後修改SMTP 轉送設定:


SMTP轉送設定(12)

SMTP轉送設定(2)

SMTP轉送設定(3)

IP的設定是讓你方便,但你最好改使用以上的設定,一個一個加入,只給必要的IP轉送的權限。如果一個一個加入對你來說有管理上的麻煩,那最好把「不考慮上述清單…」取消勾選,只讓通過權限認證的使用者才可以轉送。

13 則留言:

  1. 您好,
    不知道所描述的問題是不是這樣:

    1.惡意程式Scan網路上可用的port
    2.找到目標IP,從開放的port進入
    3.從Router Forward進來的異常封包會帶
    「Router內網的IP」並送到該port指定的Server
    4.該Server原設定為「內網區段照單全收」,
    所以來者不拒
    5.中獎

    如果在Router跟內部區網之間架一台
    硬體Firewall(含AntiVirus + IPS功能)

    像這樣:
    Internet → Router → Firewall → Switch →
    Server與內部PC

    應該也可以解決問題。
    只不過....要花錢,看老闆臉色:(

    回覆刪除
  2. 要花錢,看老闆臉色:(
    要花錢,看老闆臉色:(
    要花錢,看老闆臉色:(

    對,要花錢,看老闆臉色:(
    所以我手動把合法IP段加進去。So..問題解決了。

    老闆說,不花錢就能解決問題的才是好員工!

    回覆刪除
  3. 最後,原來是我們家的Router有Bug…這我要怪誰?
    原始「網段」的設法沒錯。

    回覆刪除
  4. 您好:

    Router有Bug...
    只能聯絡原廠或代理商,
    看看有沒有釋出新版本的firmeare來修正問題了:(

    回覆刪除
  5. @_@,有不能說的秘密。
    我們就是此Router的??。

    回覆刪除
  6. 感謝您貼出您的經驗造福大家!

    回覆刪除
  7. Dear symis
    經過此事後,我就不在使用「網段」的設定方法。

    一來可以控制那些IP有合法權;
    二來就不怕Gateway出問題;

    經驗談。

    回覆刪除
  8. 你好!! 小弟目前也遇到此事,不過照你上面的方式設定。
    並無效果~"~ 我只要防火牆的smtp開啟 佇列就一大堆smtp虛擬伺服跳出來。 真的不知道該怎麼處理,前輩請指點一下~~謝謝。

    回覆刪除
  9. 不應該無效果,因為我已經by IP設定,此IP是你授權的合法對象,不然都不應該能使用smtp才是。

    回覆刪除
  10. 可以請問一下,我公司是有國外員工 他們也要使用smtp發送郵件但使用自己的電腦設定outlook通過憑證之後設定好公司帳號收發信件

    但會不會因為ip不符合導致無法轉寄??

    我們的公司狀況是 國外寄信連回國內E-mail server再發送出去 國內也一樣

    會不會發生使用自己的電腦發送outlook而無法轉發呢?


    希望能得到大大的幫助 網路新手~見諒

    回覆刪除
    回覆
    1. 上述設定是規範內網使用者可以轉寄的IP。
      外網通常是必須通過帳號/密碼驗證,在最後一張圖片有個「不考慮上述清單…」的選擇,就是給外網User用的,他們沒有內網IP,所以不能用內網IP來限制他們。

      刪除
  11. 您好:
    請問第一張圖使用的程式是?exchange似乎沒有哪麼清楚。謝謝

    回覆刪除

感謝您的留言,如果我的文章你喜歡或對你有幫助,按個「讚」或「分享」它,我會很高興的。