Spam en envoi - exchange 2003-2010 transition

Résolu/Fermé
trint Messages postés 531 Date d'inscription lundi 12 janvier 2009 Statut Membre Dernière intervention 21 mai 2012 - 7 mai 2012 à 14:08
trint Messages postés 531 Date d'inscription lundi 12 janvier 2009 Statut Membre Dernière intervention 21 mai 2012 - 21 mai 2012 à 09:31
Bonjour,

Je suis technicien dans une petite ssii et je rencontre un problème chez un client.
Nous venons d'effectuer une migration d'Exchange Server 2003 à Exchange 2010.
Jusque ici pas de soucis tout se passe bien.
Le soucis est que depuis quelques semaines, nous rencontrons des problèmes d'envois de spams massifs depuis notre serveur.
Nous sommes encore en transition car une partie des BAL n'a pas été transférée en raison du fait que nous avons un serveur BES (Blackberry) qui n'est pas encore migré.

Après avoir sniffé le réseau, il s'avère que les spams arrivent d'une IP externe sur le Exchange 2003 qui les transfert au 2010 qui lui les envois sur le web via le connecteur smtp.

Nous avons analysé tous les postes du réseau et revérifié les règles de pare feu sans rien trouver!
Les outils de check d'open relay de base sont négatifs, mais si on fait des tests plus poussés, il y a bien une faille: test Mailradar: test 7 - 8 et 14 échouent...

Les configs des connecteurs semblent OK donc je ne sais plus trop quoi faire, et j'ai peur d'un blacklistage imminent!

Merci par avance de votre aide.

Cordialement,

Arnaud.

2 réponses

trint Messages postés 531 Date d'inscription lundi 12 janvier 2009 Statut Membre Dernière intervention 21 mai 2012 54
10 mai 2012 à 09:11
personne n'a une idée? ou même un début de piste?

Merci
0
arth Messages postés 9373 Date d'inscription mardi 27 septembre 2005 Statut Contributeur Dernière intervention 16 décembre 2016 1 366
10 mai 2012 à 09:24
La question est pourquoi le serveur 2003 redirige-t-il au 2010 qui lui même redirige à l'externe?

Il semble y avoir un problème de configuration.

C'est quoi ces fameux tests 7,8 et 14?
0
trint Messages postés 531 Date d'inscription lundi 12 janvier 2009 Statut Membre Dernière intervention 21 mai 2012 54
Modifié par trint le 10/05/2012 à 12:34
En fait on vient de faire une migration et nous sommes encore en periode transitoire car il reste des boites mail sur le 2003 qui ne peuvent être migrées pour le moment.
Du coup on a conservé nos deux serveurs et le 2003 communique avec le 2010 via le connecteur créé automatiquement pendant la migration.

Pour les tests OpenRelay voici ce que ça donne:

[Method 7] 
<<< 220 mondomaine.fr Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Thu, 10 May 2012 12:23:35 +0200 
>>> HELO mailradar.com 
<<< 250 mondomaine.fr Hello [193.230.245.6] 
>>> MAIL FROM: <antispam@[monIpPublic]> 
<<< 250 2.1.0 antispam@[monIpPublic]....Sender OK 
>>> RCPT TO: <"relaytest@mailradar.com"> 
<<< 250 2.1.5 "relaytest@mailradar.com"@mondomaine.fr 
>>> QUIT 
<<< 221 2.0.0 mondomaine.fr Service closing transmission channel 
[TEST NOT PASSED] 

[Method 8] 
<<< 220 mondomaine.fr Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Thu, 10 May 2012 12:23:36 +0200 
>>> HELO mailradar.com 
<<< 250 mondomaine.fr Hello [193.230.245.6] 
>>> MAIL FROM: <antispam@[monIpPublic]> 
<<< 250 2.1.0 antispam@[monIpPublic]....Sender OK 
>>> RCPT TO: <"relaytest%mailradar.com"> 
<<< 250 2.1.5 "relaytest%mailradar.com"@mondomaine.fr 
>>> QUIT 
<<< 221 2.0.0 mondomaine.fr Service closing transmission channel 
[TEST NOT PASSED] 

[Method 14] 
<<< 220 mondomaine.fr Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Thu, 10 May 2012 12:23:43 +0200 
>>> HELO mailradar.com 
<<< 250 mondomaine.fr Hello [193.230.245.6] 
>>> MAIL FROM: <antispam@[monIpPublic]> 
<<< 250 2.1.0 antispam@[monIpPublic]....Sender OK 
>>> RCPT TO: <mailradar.com!relaytest> 
<<< 250 2.1.5 mailradar.com!relaytest@mondomaine.fr 
>>> QUIT 
<<< 221 2.0.0 mondomaine.fr Service closing transmission channel 
[TEST NOT PASSED]


Et merci d'avance!
0
arth Messages postés 9373 Date d'inscription mardi 27 septembre 2005 Statut Contributeur Dernière intervention 16 décembre 2016 1 366
Modifié par arth le 10/05/2012 à 13:05
Ce qui est étrange c'est qu'à chaque fois il rajoute @mondomaine.fr après le RCPT TO.

Déjà de base le serveur semble être ouvert pour relayer les mails.

Et le mail ensuite il passe par où dans les logs? Avez-vous faits des tests de bout en bout?
0
trint Messages postés 531 Date d'inscription lundi 12 janvier 2009 Statut Membre Dernière intervention 21 mai 2012 54
10 mai 2012 à 13:23
Oui je trouve ca étrange aussi.
Et oui en effet le serveur semble être ouvert, mais le problème c'est qu'on ne trouve pas par où, car dans la config du serveur virtuel smtp le relais est interdit!

On a pu faire des captures et avons observé, que les mails arrivent à chaque fois, lors d'une vague de spam, d'une IP externe à l'entreprise.

La session smtp est ouverte avec le 2003, donc je pense que le soucis vient de lui.
Ensuite le 2003 transmet les mails au 2010, et tout part en file d'attente.

Où puis-je trouver une trace smtp précise des mails?

Je suis conscient que la configuration en transition avec deux serveurs est pas top, mais pour le moment nous n'avons pas trop le choix, et du coup je ne trouve pas grand chose sur le sujet.

Merci
0
arth Messages postés 9373 Date d'inscription mardi 27 septembre 2005 Statut Contributeur Dernière intervention 16 décembre 2016 1 366
10 mai 2012 à 13:47
Juste pour être sûr :

Les mails arrivent d'une IP externe sur le serveur 2003, puis vont sur le 2010, et restent alors en queue, mais il ne repartent jamais à l'extérieur, c'est bien ça?

Il n'y a pas une option du type add domain automatically?
0
trint Messages postés 531 Date d'inscription lundi 12 janvier 2009 Statut Membre Dernière intervention 21 mai 2012 54
10 mai 2012 à 14:01
Hélas si ils partent!
Quand je remarque la vague, je créé une règle de transport interdisant l'envoi des mails depuis l'adresse spameuse donc ils restent en queue, mais quand la vague se passe la nuit, tout part...

Je pense que tu veux parler du paramètre "autoriser tous les ordinateurs authentifiés à relayer sans tenir compte de la liste ci-dessus", si oui, ce paramètre est désactivé.
0