Beste helpmij users,
Ik werk als ICT'er in een VZW met min of meer 300 users / computers
Onlangs hebben we ontdekt dat onze email niet meer doorkomt naar externe partijen
We zijn ook op de spamlist van spamhaus terechtgekomen, dus we vermoeden dat een van onze computers spam aan het versturen is (deel van een zombienet is)
Het probleem ligt erin dat we momenteel druk bezig zijn met een heropstart van ons hele ICT infrastructuur. De mailserver is vorige maand gecrashed, vanwege het oude netwerk kunnen we geen nieuwe mailserver hierin steken. Dus hebben we de mailserver in ons nieuw netwerk laten draaien, en iedereen kan via OWA wel emails versturen.
Wat er dus op neerkomt dat de mailserver in zijn eigen domein steekt, zijn eigen dns server draait etc... (tijdelijk)
Ik heb wireshark op de mailserver ge�nstalleerd, het verkeer naar en van de mailserver opgeslagen en nagekeken, maar hieruit kunnen we niks vinden, er zijn geen ip adressen die excessief veel over poort 25 sturen
We wilden via de firewall te weten komen (van het nieuwe netwerk) welk ip adres er continue zit te sturen naar de mailserver, maar de technieker die deze apparaten nog aan het opzetten is, heeft momenteel prive problemen en kunnen we niet bereiken voor deze maand.
Kan ik op nog een manier snel deze ge�nfecteerde computer(s) vinden ? Of zal ik ze 1 per 1 moeten nagaan en kijken op malware ?
Bijgeleverd is een simpele tekening van ons netwerk ter info
In het oud netwerk staan al onze huidige servers, dns data dhcp ...
In het nieuw netwerk staat enkel een firewall en mailserver
Deze zijn van elkaar gescheiden met ip ranges, de firewall blokkeert alles, behalve verbindingen vanuit het oude netwerk om naar de mailserver te gaan. (het nieuwe netwerk heeft ook een ander WAN adres dan het oud netwerk)
Alvast bedankt
zakeleon
Ik werk als ICT'er in een VZW met min of meer 300 users / computers
Onlangs hebben we ontdekt dat onze email niet meer doorkomt naar externe partijen
We zijn ook op de spamlist van spamhaus terechtgekomen, dus we vermoeden dat een van onze computers spam aan het versturen is (deel van een zombienet is)
Het probleem ligt erin dat we momenteel druk bezig zijn met een heropstart van ons hele ICT infrastructuur. De mailserver is vorige maand gecrashed, vanwege het oude netwerk kunnen we geen nieuwe mailserver hierin steken. Dus hebben we de mailserver in ons nieuw netwerk laten draaien, en iedereen kan via OWA wel emails versturen.
Wat er dus op neerkomt dat de mailserver in zijn eigen domein steekt, zijn eigen dns server draait etc... (tijdelijk)
Ik heb wireshark op de mailserver ge�nstalleerd, het verkeer naar en van de mailserver opgeslagen en nagekeken, maar hieruit kunnen we niks vinden, er zijn geen ip adressen die excessief veel over poort 25 sturen
We wilden via de firewall te weten komen (van het nieuwe netwerk) welk ip adres er continue zit te sturen naar de mailserver, maar de technieker die deze apparaten nog aan het opzetten is, heeft momenteel prive problemen en kunnen we niet bereiken voor deze maand.
Kan ik op nog een manier snel deze ge�nfecteerde computer(s) vinden ? Of zal ik ze 1 per 1 moeten nagaan en kijken op malware ?
Bijgeleverd is een simpele tekening van ons netwerk ter info
In het oud netwerk staan al onze huidige servers, dns data dhcp ...
In het nieuw netwerk staat enkel een firewall en mailserver
Deze zijn van elkaar gescheiden met ip ranges, de firewall blokkeert alles, behalve verbindingen vanuit het oude netwerk om naar de mailserver te gaan. (het nieuwe netwerk heeft ook een ander WAN adres dan het oud netwerk)
Alvast bedankt
zakeleon