Spam in gedecentraliseerd netwerk

[zakeleon]

Beste helpmij users,

Ik werk als ICT'er in een VZW met min of meer 300 users / computers

Onlangs hebben we ontdekt dat onze email niet meer doorkomt naar externe partijen
We zijn ook op de spamlist van spamhaus terechtgekomen, dus we vermoeden dat een van onze computers spam aan het versturen is (deel van een zombienet is)

Het probleem ligt erin dat we momenteel druk bezig zijn met een heropstart van ons hele ICT infrastructuur. De mailserver is vorige maand gecrashed, vanwege het oude netwerk kunnen we geen nieuwe mailserver hierin steken. Dus hebben we de mailserver in ons nieuw netwerk laten draaien, en iedereen kan via OWA wel emails versturen.
Wat er dus op neerkomt dat de mailserver in zijn eigen domein steekt, zijn eigen dns server draait etc... (tijdelijk)

Ik heb wireshark op de mailserver ge�nstalleerd, het verkeer naar en van de mailserver opgeslagen en nagekeken, maar hieruit kunnen we niks vinden, er zijn geen ip adressen die excessief veel over poort 25 sturen
We wilden via de firewall te weten komen (van het nieuwe netwerk) welk ip adres er continue zit te sturen naar de mailserver, maar de technieker die deze apparaten nog aan het opzetten is, heeft momenteel prive problemen en kunnen we niet bereiken voor deze maand.

Kan ik op nog een manier snel deze ge�nfecteerde computer(s) vinden ? Of zal ik ze 1 per 1 moeten nagaan en kijken op malware ?

Bijgeleverd is een simpele tekening van ons netwerk ter info

In het oud netwerk staan al onze huidige servers, dns data dhcp ...
In het nieuw netwerk staat enkel een firewall en mailserver
Deze zijn van elkaar gescheiden met ip ranges, de firewall blokkeert alles, behalve verbindingen vanuit het oude netwerk om naar de mailserver te gaan. (het nieuwe netwerk heeft ook een ander WAN adres dan het oud netwerk)

Alvast bedankt

zakeleon

 

[dnties]

a. Heb je wel een SPF-record ingesteld, aangepast aan het publieke ip-adres van waaruit mail wordt verstuurd door je (nieuwe) mailserver? Indien je er nooit een had lijkt het me niet dat de aanpassing naar het nieuwe netwerk er ook maar iets mee te maken heeft, want dan had er altijd al spam gestuurd kunnen worden.
b. Als je al een SPF-record had, had je die wel aangepast aan het (nieuwe) publieke ip-adres van waaruit mail wordt verstuurd door je (nieuwe) mailserver?

Tijs.

 

[zakeleon]

Er is nooit een spf record aangemaakt, ik kan er geen vinden in de DNS van onze server.
Voor de start van de migratie was er geen spam verstuurd, en na de migratie ook niet. ongeveer een halve maand na de migratie is dit pas gestart

 

[dnties]

Wat ik zou doen is in ieder geval poort 25 TCP uitgaand te blokkeren voor alle interne ip-adressen, m.u.v. het interne ip-adres van de mailserver. Dit dus voor het geval er een andere pc/server dan de mailserver op he netwerk verantwoordelijk is voor de spam.

SPF record staat op het publieke DNS, maar ik geloof je meteen als je zegt dat er nu (op het publieke DNS) geen bestaat.
In het algemeen raadt ik elke organisatie aan zo snel mogelijk een correct SPF-record aan te maken. Dat is natuurlijk géén oplossing voor jouw specifieke spamverhaal, maar verhoogt wel de 'geloofwaardigheid' van je mailserver, zodra blijkt dat na de maatregel van de eerste paragraaf de spam ophoudt en je daarna weer van de blacklist af wilt komen.

Tijs.

 

[dnties]

Daarnaast natuurlijk ook kijken of je mailserver nu open staat voor relaying (zowel vanuit het interne netwerk als vanuit het externe netwerk).

Verder natuurlijk de volledige mailheader van zo'n verstuurd spam-mailtje ergens proberen te scoren en die analyseren om te zien vanaf welk (intern) ip-adres de spam verstuurd is, of de mailserver er zelf ook nog tussen zit etc.


Tijs.

 

[zakeleon]

Wanneer ik een spf record aanmaak en in de exchange zet, ondervind deze dan storingen ? Zal hij een tijdje uit liggen ?

De vraag komt er meer op neer omdat alles wat gedaan moet worden eerst moet goedgekeurd worden door de directie, een uitval gaan ze niet accepteren.

De vraag hoe je een zombie PC kunt vinden zonder een centrale firewall ligt ook nog altijd open, weet u hier iets op ? (buiten elke PC 1 voor 1 langs te gaan)

 

[dnties]

SPF record staat in het publieke DNS, niet in je lokale DNS. Als je die goed samenstelt, dan levert dat geen verstoring op.
Let erbij op dat je uitputtend de 'geauthorizeerde' ip-adressen erin opneemt. Dus (bijv.) dat niet iemand vanaf zijn thuislokatie via zijn mailserver van de provider probeert mail te versturen alsof die afkomstig is van jouw bedrijf (denk hierbij ook aan mobiele gebruikers), dat je ook externe diensten die mails versturen alsof afkomstig van jouw bedrijf (uitbestede facturatie etc.) in het SPF-record laat terugkomen etc.
Begin in ieder geval voorlopig met "~all" als einde ervan, zodat SPF een soft-fail oplevert als er vanaf een 'niet-geauthorizeerd' ip-adres mail wordt verstuurd. Zodra je helemaal zeker bent van je zaak kun je dat vervangen door "-all".

Hulp hierbij:
Concepten van de mogelijke ingangen in SPF records (zodat je wellicht het aantal 'harde' ip-adressen kunt verminderen en kunt verwijzen naar mx etc):
http://www.zytrax.com/books/dns/ch9/spf.html
Hulp bij samenstellen etc.:
http://spfwizard.com/
Verificatie achteraf/syntax check:
http://www.mxtoolbox.com/spf.aspx

Extern mailende Zombie pc's kun je niet vinden als er geen router gebruikt wordt die uitgaand poort 25 TCP verkeer kan loggen. Zowiezo moet je je ernstig gaan afvragen of het dan niet eens tijd wordt om een firewall te installeren (al dan niet geïntegreerd in een geavanceerde router, zoals een Zyxel USG-300).

Als je zo door het management het vuur aan de schenen wordt gelegd, dan zal het tijd worden dat die de bereidheid toont je te voorzien van de middelen die je nodig hebt om je werk goed te kunnen doen.

Succes,

Tijs.

 

[zakeleon]

We zijn bezig met het opzet van een volledig nieuw netwerk, daarom dat deze problemen zo ongelegen komen, over een maand / 2 dan zou alles hier gloednieuw zijn, met het nieuwe netwerk up & running.

Kosten worden niet meer ingestoken in het oude netwerk, bij problemen moeten ze ook niet bij mij maar bij de directie klagen

Dan zal ik elke computer af moeten gaan met een netwerk sniffer om te kijken waar dit vanaf kan komen

 

[dnties]

Je zou, als je zeker wilt zijn dat het probleem niet vanaf of via de Exchange mailserver wordt gestuurd message tracking aan kunnen zetten. Kijk hier voor Exchange 2007 en hier voor Exchange 2010.

Tijs.

 

[pmeijne]

Als alle gebruikers OWA gebruiken voor de mail, dan kan je natuurlijk ook heel rücksichtlos poort 25 dichtzetten op de mailserver voor interne clients. Weet niet of je zelf de mail afhandelt, of dat je dit via b-smtp ofzo ophaalt bij de provider, anders kan hij helemaal dicht. ;-)

En eens kijken of je niet per ongeluk een open relay bent: hier bijvoorbeeld. En meteen natuurlijk alle blacklists even checken, soms geven ze wat meer info over waarom er geblocked wordt.

Maar kijk ook eens of het niet "per ongeluk" 1 van je andere servers is, die geleend is voor dit soort doeleinden.