Спам с почты, совсем непонятно с чего начать и что делать?
Доброго времени суток. Два месяца назад пришел в новую фирму, лично с прошлым админом познакомиться не получилось, от него досталась куча проблем, таких как лагающее оборудование, бардак, отсутствие 50% паролей, годичные висяки. Сейчас сражаюсь со следующим:
Итак, имелся неделигированый домен, exchange 13, никаких спаморезок, никаких dkim/spf записей не было и в помине, на гугл/мейл/яндекс наши письма просто уходили в отбивку или попадали в спам.
Настроил дким/спф, вылезли из спама. Но первоисточник бед с почтой никуда не делся - опен релея нет, но от домена идет спам, получается, где-то есть вирус. Сервера на esxi, около 20 штук, половина виндовые, половина юникс. Эксчендж смотрел с помощью cureit, все чисто.
Собственно, вопрос: что делать? в какую сторону копать, с чего начать, что бы найти первоисточник проблем? Ресетать пароли пользователям? сканировать все серверы на наличии вредоносного ПО?
Сейчас перебился транспортным правилом, "если ВНЕ домена но в адресе отправления есть %@имя_домена% то дропать.
Запретить на шлюзе исходящий smtp 25, открыть только на IP Адрес Exchange, настроить логирование любого коннекта на 25ый порт из локальной сети наружу. Локализовать малварь на зараженных компьютерах.
Exchange проверить на Application Relay (анонимный Receive connector - аутентифицирующий по IP - Провести аудит IP кому принадлежат, включить Verbose логгирование, посмотреть смтп сессии кто шлет - используйте Powershell для анализа, либо LogParser, обнаружить сервис/сервер зловред - обезвредить).