Bonjour,
 
Suite à une infection sur notre réseau, notre serveur exchange envoi du spam sur le net.  
Biensur blacklist au rendez vous.  
En attendant de pouvoir faire le nettoyage de mon réseau qui est éclaté sur tout le sud de la france, je cherche une solution simple et rapide pour filtrer les mail sortants de mon serveur exchange qui ne possède pas une adresse d'expéditeur reconnu (exchange 2010 le fait peut être mais j'ai pas trouvé)  
Biensur faudrait que ce soit gratuit, simple, rapide, et déjà en place depuis hier !    
 
Merci pour vos avis et conseils.  
 
Ps: Si cela fait le café, c'est parfait.

ben tu bloques le port 25 sauf pour le srv exchange, il y a peu de chances que ce soit lui qui soit infecté mais plutot une machine de ton lan

Salut,
J'aurai du préciser les actions déjà mise en place.
Le serveur exchange n'accepte de relayer que mes deux serveurs linux.
Le pare feu de l'entreprise n'autorise la sortie smtp que depuis mon serveur exchange et mes deux serveur linux.
 
La trafic spam transite bien par mon serveur exchange mais je n'arrive pas a identifier le ou les postes responsables.
Normalement tous mes postes utilisent outlook pour ce connecter au serveur exchange.
Après analyse par kaspersky sur le poste et trendmicro en ligne, RAS sur le serveur.
 
Bref je dois avoué que je suis dépassé, toutes les solutions classiques auxquelle j'ai pensé ne donne pas de résultat tangible.
Merci A+

Regarde http://gsexdev.blogspot.com/2008/0 [...] cking.html (je sais pas si ça marche sur 2010). L'idée est de regarder les message tracking logs pour identifier celui qui envoie de masse les messages

J'utilise HMailServer comme relai entrant et sortant pour Exchange 2007.
 
Par ailleurs, ess-tu sûr que les spams sont envoyés à partir d'Exchange ?
 
Nous avons eu le cas où une station de travail était infectée et envoyait du spam sans passer par Exchange.
 
Du coup, nous avons été blacklistés sans que nous puissions loguer les mails envoyés (ni dans Exchange, ni dans HMS).
 
Nous avons alors verrouillé le port 25 en sortie uniquement sur l'IP du serveur HMS, ce qui a réglé le problème.

Salut,
merci JE@NB !!!
J'ai enfin pu voir que les spam sortent avec comme expéditeur Postmaster@mon-domaine-actvie-directory.
Reste plus qu'a interdire au adresse du domaine de sortir, pour ne laisser que les adresses avec mon nom de domaine public sortir.
 
A+

Il vaut mieux savoir d'où viennent ces messages

Salut,
 
oui la recherche est en cours.
Kaspersky n'est pas très parlant sur ce coup là.
Les messages sont des messages de non remise adressés à tout type de domaine exotique.
Pour le moment je n'ai pas trouvé comment interdire à mon serveur la sortie des messages avec mon-domaine-active-directory.
Je cherche une solution me permettant d'offrir un service mail vers l'exterieur sans polluer le net, même si le service doit être dégradé.
Merci
A+

Salut,
Je voudrai vous soumettre une idée concernant mon soucis.
Pour être sur que le problème ne se situe pas sur le serveur mais bien sur un poste du réseau, j'ai bien envie de déconnecter le serveur de mon lan.
S'il n'envoi plus de mail, c'est qu'il est hors de cause ?
J'ai bon ?
 
merci A+
Ps: Je suis sur exchange 2010, et les messages sont tous des "messages de non remise"

ET sur ton routeur, tu ne peux pas activer les traces réseaux pour voir quelle machine émet des paquets sur le port 25 ?

 
Non, car si le poste en question utilise ton EXCHANGE comme relais, alors tu ne verra rien, mais le problème sera toujours existant.

 
Salut,
Je sais que mon serveur sert de relais, mais en le déconnectant du réseau je pourrai être sur que l'infection n'est pas sur le serveur mais bien un poste de mon LAN.
 
Si l'infection est sur le serveur, en théorie même s'il ne peut envoyer les mails, l'infection continurai de remplir mes files d'attente ?
 
A+

 
Effectivement, j'avais pas vu ça comme ça.  

rappel:
Sur les pares feu tu peux potentiellement voir tous les flux...

Salut,
Donc après moultes investigations j'ai enfin trouvé la solution à mon problème.  
 
Description rapide de l'architecture en place.
 
Un serveur exchange et un serveur linux derrière un pare feu. pas de filtre anti-spam et pas de serveur EDGE pour l'exchange.
Mon serveur exchange reçoit l'ensemble des mails pour les differents domaines que nous hébergeons, puis les redirige vers le serveur linux pour l'ancien nom de domaine.
Donc mon serveur exchange quand il reçoit du spam pour l'ancien nom de domaine, envoi le mail au serveur linux ce dernier n'ayant pas de BAL pour certains utilisateurs renvoi au serveur exchange une fin de non recevoir. Par la suite mon serveur exchange faisait partir sur internet une 10 de mails de non remise par demi heure.
Pour débloquer la situation, j'ai interdit à mon exchange d'envoyer les messages de non remise.
 
Pour JE@NB, La solution n'est pas complètement fonctionnelle sous 2010. Mais dans la boite à outils depuis la console de gestion exchange il y a "l'explorateur de journaux de suivi".
 
Concernant une passerelle smtp ou une solution anti-spam, je suis en train de chercher à remettre en route un safenet xg 110 qui a été éteint pour d'obscures raisons ou l'achat d'une solution Mailcube Vaderetro.
 
Merci à tous pour votre aide.  

Salut,
petite question supplémentaire.
Pour le moment mon serveur est directement accessible sur le WEB, et le connecteur SMTP donne le nom de machine avec le domaine local.
Est il possible de changer cela ?
Car lorsque j'essai de changer pour mettre le FQDN externe, la console me renvoi une erreur.
Merci

l'ideal est d'avoir un proxy smtp, j'ignore s'il est possible de changer ca dans Exchange mais je suppose qu'il affiche le domaine AD...

Salut,
c'est cela, il affiche le nom domaine AD et pas moyen de le changer.
Oui le proxy ou autre solution sera mis en place rapidement.
Soit le safenet, soit la solution vaderetro ou enfin je mettrais un serveur edge en place.
Merci  
A+

2010 SP1 ?

Salut,
Oui 2010 SP1.