OVH Community, votre nouvel espace communautaire.

Configuration AntiSpam Exchange 2013


sd82979
12/04/2016, 12h59
Citation Envoyé par Yooshi
Pour les logs, dans "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\ProtocolLog" effectivement il n'y a rien.

Par contre dans "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLo g\SmtpSend" j'ai plein de log.

Mais dans le log, j'ai beau faire des recherche sur les adresse mail de destination qu'OVH ma envoyé impossible a trouvé, il n'y a que des log pour des mail type "HealthMailboxc51a0a9383754e60bf1cd2c5184c1176@Fre eparty.tf"

Le fichier log au cas ou : http://dl.free.fr/wqZlgTYVu
tes logs ne sont pas activés sur le connecteur d'envoi.
les logs que tu as ne sont que le relai interne

Yooshi
09/04/2016, 19h39
Depuis hier le port est débloqué et plus rien, plus de spam, plus de problème ....

Sauf que j'ai rien touché ...

fritz2cat
09/04/2016, 15h08
J'ai regardé rapidement avec notepad dans ton dl.free.fr et à première vue il n'y a que du trafic légitime là-dedans.

Yooshi
08/04/2016, 21h08
"You have exceeded the maximum paste size of 512 kilobytes per paste. PRO users don't have this limit!"

Sinon j'ai plus simple ^^ : ftp://freeparty.tf

Nowwhat
08/04/2016, 18h57
Citation Envoyé par Yooshi
....
Le fichier log au cas ou : http://dl.free.fr/wqZlgTYVu
Il faut que je me tape la vidéo avant ....

Va pour http://pastebin.com

Yooshi
08/04/2016, 17h06
Pour les logs, dans "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\ProtocolLog" effectivement il n'y a rien.

Par contre dans "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLo g\SmtpSend" j'ai plein de log.

Mais dans le log, j'ai beau faire des recherche sur les adresse mail de destination qu'OVH ma envoyé impossible a trouvé, il n'y a que des log pour des mail type "HealthMailboxc51a0a9383754e60bf1cd2c5184c1176@Fre eparty.tf"

Le fichier log au cas ou : http://dl.free.fr/wqZlgTYVu

sd82979
08/04/2016, 11h19
Citation Envoyé par Yooshi
C'est la VM Exchange qui envoie les mail avec le process MSExchangeFrontendTransport.exe
comme dit au dessus, normal.
ce qui l'est moins, ce que bien que des mails partent, tu n'as rien dans les logs du SMTP sortant (protocollog, smtpsend)
=> deja, ça c'est a revoir.

une fois que tu auras les logs, tu auras plus de détails sur d'ou viennent les mails.

Yooshi
08/04/2016, 00h05
Absolument aucun problème.

Par contre je t'enverrai un screen demain car j'ai déjà débloqué le port 43 4 fois se soir, je voudrais pas trop abusé.

Mais par contre pour les question, j'ai éxécuté le TCPView sur la VM Exchange, puis j'ai débloqué le port. J'ai vue le process "MSExchangeFrontendTransport.exe" qui est passé en vert (ESTABLISHED) avec le port local 25.

Pour les IP, mon IP public est une IPFO que redirige sur l'ip du serveur ESXI, uniquement en IPv4.

Nowwhat
07/04/2016, 23h00
Attention.
Sur ce forum tu trouveras très peu - ou simplement pas - des gens (client OVH avec un serveur (mail)) qui utilisent Exchange.
Disons que le 99 % (voir plus) utilise "postfix" - certains sont encore "qmail".
T'as liste pas mal delignes 'configuration Exchange', présenté à la façon "Microsoft", mais, j'ai quand même l'impression qu'il manque au moins le trois quart.
De plus, je ne pense pas que ton 'Exchange' a un problème - il envoi simplement les mails qui lui sont injecté (localement) venant des connections autorisé -ou venant d'un source localement (le serveur lui même).
Il y a, en dehors d'Exchange, autre chose qui s'exécute sur ce VM (serveur) ?
Tes autres VM, ils peuvent communiquer avec le VM qui contient Exchange ?

Citation Envoyé par Yooshi
C'est la VM Exchange qui envoie les mail avec le process MSExchangeFrontendTransport.exe
Ça te dérange si je te demande de prouver ça ?
Copie coller - copie écran - log - etc
T'as des IPFO ?
OVH te bloque ton IP (de ton serveur) - autre IP ?
IPv4 seulement ?
IPv6 aussi ?

Yooshi
07/04/2016, 20h14
C'est la VM Exchange qui envoie les mail avec le process MSExchangeFrontendTransport.exe

Du coup je me demande si met connecteur d'envoie et de réception sont configuré correctement .

Quelqu'un a un avis :
Code:
[PS] C:\Windows\system32>Get-SendConnector "internet" | Format-List
AddressSpaces                : {SMTP:*;1}
AuthenticationCredential     :
CloudServicesMailEnabled     : False
Comment                      :
ConnectedDomains             : {}
ConnectionInactivityTimeOut  : 00:10:00
DNSRoutingEnabled            : True
DomainSecureEnabled          : False
Enabled                      : True
ErrorPolicies                : Default
ForceHELO                    : False
Fqdn                         : mail.freeparty.tf
FrontendProxyEnabled         : False
HomeMTA                      : Microsoft MTA
HomeMtaServerId              : EXC1
Identity                     : Internet
IgnoreSTARTTLS               : False
IsScopedConnector            : False
IsSmtpConnector              : True
MaxMessageSize               : 35 MB (36,700,160 bytes)
Name                         : Internet
Port                         : 25
ProtocolLoggingLevel         : Verbose
RequireOorg                  : False
RequireTLS                   : False
SmartHostAuthMechanism       : None
SmartHosts                   : {}
SmartHostsString             :
SmtpMaxMessagesPerConnection : 20
SourceIPAddress              : 0.0.0.0
SourceRoutingGroup           : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers       : {EXC1}
TlsAuthLevel                 :
TlsCertificateName           :
TlsDomain                    :
UseExternalDNSServersEnabled : False
Code:
[PS] C:\Windows\system32>Get-ReceiveConnector "EXC1\Default Frontend EXC1" | Format-List
RunspaceId                              : 7de3a1ac-9d0a-4df5-b756-b382c08fefc4
AuthMechanism                           : Tls, Integrated, BasicAuth, BasicAuthRequireTLS
Banner                                  :
BinaryMimeEnabled                       : True
Bindings                                : {[::]:25, 0.0.0.0:25}
ChunkingEnabled                         : True
DefaultDomain                           :
DeliveryStatusNotificationEnabled       : True
EightBitMimeEnabled                     : True
BareLinefeedRejectionEnabled            : False
DomainSecureEnabled                     : True
EnhancedStatusCodesEnabled              : True
LongAddressesEnabled                    : False
OrarEnabled                             : False
SuppressXAnonymousTls                   : False
ProxyEnabled                            : False
AdvertiseClientSettings                 : False
Fqdn                                    : mail.freeparty.tf
ServiceDiscoveryFqdn                    :
TlsCertificateName                      :
Comment                                 :
Enabled                                 : True
ConnectionTimeout                       : 00:10:00
ConnectionInactivityTimeout             : 00:05:00
MessageRateLimit                        : Unlimited
MessageRateSource                       : IPAddress
MaxInboundConnection                    : 5000
MaxInboundConnectionPerSource           : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize                           : 128 KB (131,072 bytes)
MaxHopCount                             : 60
MaxLocalHopCount                        : 12
MaxLogonFailures                        : 3
MaxMessageSize                          : 36 MB (37,748,736 bytes)
MaxProtocolErrors                       : 5
MaxRecipientsPerMessage                 : 200
PermissionGroups                        : AnonymousUsers, ExchangeServers, ExchangeLegacyServers
PipeliningEnabled                       : True
ProtocolLoggingLevel                    : Verbose
RemoteIPRanges                          : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
RequireEHLODomain                       : False
RequireTLS                              : False
EnableAuthGSSAPI                        : False
ExtendedProtectionPolicy                : None
LiveCredentialEnabled                   : False
TlsDomainCapabilities                   : {}
Server                                  : EXC1
TransportRole                           : FrontendTransport
SizeEnabled                             : Enabled
TarpitInterval                          : 00:00:05
MaxAcknowledgementDelay                 : 00:00:30
AdminDisplayName                        :
ExchangeVersion                         : 0.1 (8.0.535.0)
Name                                    : Default Frontend EXC1
DistinguishedName                       : CN=Default Frontend EXC1,CN=SMTP Receive
                                          Connectors,CN=Protocols,CN=EXC1,CN=Servers,CN=Exchange Administrative Group
                                          (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Freeparty,CN=Microsoft
                                          Exchange,CN=Services,CN=Configuration,DC=Freeparty,DC=tf
Identity                                : EXC1\Default Frontend EXC1
Guid                                    : ce28f8e1-53a2-4842-b1cc-85e35a43b338
ObjectCategory                          : Freeparty.tf/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
ObjectClass                             : {top, msExchSmtpReceiveConnector}
WhenChanged                             : 01/04/2016 14:42:58
WhenCreated                             : 27/01/2016 20:35:25
WhenChangedUTC                          : 01/04/2016 12:42:58
WhenCreatedUTC                          : 27/01/2016 19:35:25
OrganizationId                          :
OriginatingServer                       : CTL1.Freeparty.tf
IsValid                                 : True
ObjectState                             : Unchanged

fritz2cat
07/04/2016, 16h41
attention après le 3è blocage, OVH pourrait bien te laisser en quarantaine pour un mois.

sd82979
07/04/2016, 16h15
tu installe wireshark sur la VM qui fait le routage, tu te met en écoute coté LAN, tu filtre le port 25 en destination, tu auras les IP sur ton LAN qui envoient des mails.
si tu as rien, c'est que ça vient de la VM qui route.

ensuite, sur la machine qui spamme, tu installe TCPview, idem tu filtre sur les connex sortantes vers port 25, tu auras les process qui envoient des mails.

Yooshi
07/04/2016, 15h37
C'est une vm avec Windows server 2012 sur le quel j'ai installé le rôle de routage.

J'ai vérifié le IIS du routage le proxy est bien désactivé.

Hier j'ai debloqué le port sur ovh et bloqué celui du routeur en sortie smtp pour voir si des demande d'envoi de spam arrive dans la file d'attente mais rien.

En rentrant je ferait la même chose sur les autres server en bloquant le smtp pour voir si les mail sont envoyé par un autre serveur ou si sa vien directement de l'exchange

sd82979
07/04/2016, 14h14
c'est quoi qui fait le routage ? (entre l'IP publique et le LAN privé)

ça peut aussi venir de la.

Yooshi
06/04/2016, 16h58
Puisque OVH bloque mon port 25 et pas celui du voisin, je pense aussi que ces mails sortent de mon infra ^^

Plus sérieusement, j'ai coupé tout mes serveur Linux et autre serveur superflus, il me reste donc en ligne le strict minimum :

- R1 connecté a la patte externe et une patte en interne (254.0)
- R2 qui relie tout mes réseaux interne (1.0, 2.0, 3.0, 254.0)
- CTL1 (AD/DNS/DHCP) sur le réseau 1
- EXC1 qui est donc mon serveur Exchange connecté sur le réseau 1


Et même en tournant exclusivement avec cette infra, les spam partent toujours (plus d'apache en ligne), il me reste les IIS sur R2 et CTL1 mais qui sont des IIS de base sans aucun modif, par contre le IIS de R1, je lui est installé une fonctionnalité proxy pour faire des règle de proxy inversé (qui na pas fonctionné d'ailleur), je vais me penché dessus.

fritz2cat
06/04/2016, 15h57
Je suis prêt à parier une bouteille de champagne que ces mails sortent bien de ton infrastructure. Parfois ça peut provenir d'une page php pirate ou même d'un de tes sites web où tu as installé mod_proxy... il faut chercher partout !

Vois tes logs apache.

Yooshi
06/04/2016, 13h42
Merci pour vos réponse.

@Nowwhat

Une fois sur deux mon message dot être validé par un modérateur...

Donc pour reprendre, je suis allé sur MxToolBox et mon serveur n'est effectivement pas en Open Relay :


Je vais essayé de trouvé sur google les commande pour voir quel process ou service envoie des mails....

@fritz2cat

J'utilise du NAT

J'ai installé un VM 2012R2 sur la quel j'ai mis le routage, je redirige le port 25 vers l'adresse IP privée de l'exchange.

Dans mon Infra j'ai bien un Nagios, Munin, Zabbix, mais je n'e'st configuré aucun envoie de mail donc je pense pas qu'il en envoie, encore moins en flood (je pense).

De plus OVH m'envoi un échantillon des spam a chaque fois qu'il le bloque :

Destination IP: 196.203.249.2 - Message-ID: 063006244579-XNIRWLNSTFBVOBXEVFFAMZRKR@lfxsu.imsllc.us - Spam score: 300
Destination IP: 213.135.35.2 - Message-ID: 526302428933-ENJTYLGQTATBUNHBXDOL@uk...archimedes.com - Spam score: 500
Destination IP: 193.95.97.2 - Message-ID: 1459996335-ZTHGRVAPCPTFYSKUZKRKR@olcgqw48.dpgallery.com - Spam score: 300
Destination IP: 197.246.6.83 - Message-ID: 1880702435-IYGRZCETMIOEMKTBQTATLUCL@...echnologies.us - Spam score: 300
Destination IP: 8.31.233.75 - Message-ID: 5913320846368-TXOTWMBZWXCLUBUYCTJSXU...7.aacrugby.com - Spam score: 500

fritz2cat
06/04/2016, 12h05
Tes VM sont-elles connectées via un interface réseau de type switch ou bien NAT ?
Ou dit autrement: chaque VM possède-t-elle son adresse IP distincte en forçant une MAC-address au niveau VMware ?

Dans le cas du NAT tu partages une adresse IP entre plusieurs VM et ce pourrait être une autre VM qui spamme.

Yooshi
06/04/2016, 11h11
Merci Nowwhat pour la réponse.

J'ai vérifié pour l'Open Relay, MxToolBox indique bien que le serveur n'est pas en OpenRelay :
"SMTP Open Relay OK - Not an open relay."

Je vais essayé de trouvé quelque chose sur google pour vérifié les service et process.

Nowwhat
06/04/2016, 10h25
[QUOTE=Yooshi;666947]
Ce n'est peut-être même pas "Exchange" qui envoie les mails ......
N'importe quel script PHP, perl, basic, Python, shell-script ou autre pourrait le faire.
Tant qu'il est sur ton serveur (ou VM) et tant qu'il est 'root' ....

Attention : je ne dis pas que c'est le cas, mais SI des mails partent de ton serveur à la vitesse grand V, tu devrais trouver très rapidement QUI (processus, service) les envois - chaque OS possède des commande "de base" pour savoir ça.

Citation Envoyé par Yooshi
Et je ne suis pas sur de savoir comment vérifié si m'on serveur est en Open Relay, je me souvient pas avoir configuré quelque chose comme sa pourtant .....
Cette question ne devrait pas exister.
Même si t'as pas suivi une formation "Microsoft " pour
Même si t'as pas le doc ...
Ceci est gratuit, rapide et accessible pour tout le monde : Google => "test server mail open relay" et t'as des divers tests proposé sur lien 1 - lien 2, lien 3, etc.

Yooshi
06/04/2016, 09h07
Bonjour sd82979,

Désolé pour la réponse tardive, je pensait avoir répondue hier mais le message n'est pas partie....

Les logs se trouvent bien dans : C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\ProtocolLog ?
Car le dossier est vide, j'ai donc activé la journalisation détaillé sur les connecteur d'envoi dans l'ECP puis dans un EMS "Set-SendConnector "Internet" -ProtocolLoggingLevel Verbose"

Pour la file d'attente, j'ai regardé dans l'Exchange ToolBox mais rien , la file d'attente est vide.

Et je ne suis pas sur de savoir comment vérifié si m'on serveur est en Open Relay, je me souvient pas avoir configuré quelque chose comme sa pourtant .....

Merci pour ton aide

Yooshi
05/04/2016, 13h46
Merci sd82979 pour ta réponse.

Alors pour les log j'ai regardé, ils étaient pas activé , j'ai donc activé les logs => Set-SendConnector "Internet" -ProtocolLoggingLevel verbose et en mode détaillé dans l'interface ECP.
Mais toujours rien dans : C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\ProtocolLog
Par contre dans : C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLo g\SmtpSend avant même que j'active les logs, le dossier était déjà rempli de log mais rien d’intéressant il me semble

Pour se qui est de la file d'attente, elle est vide, j'ai vérifié dans l'afficheur de file d'attente de l'Exchange toolbox.

Comment je peux vérifié que le serveur n'est pas en Open Relay ?
Désolé je suis en train d'apprendre a utilisé Exchange, je ne connais pas tout les fonctionnalité.

Merci pour ton aide.

Cdlt,

Yooshi
05/04/2016, 13h42
Merci sd82979 pour ta réponse.

Alors pour les log j'ai regardé, ils étaient pas activé , j'ai donc activé les logs => Set-SendConnector "Internet" -ProtocolLoggingLevel verbose et en mode détaillé dans l'interface ECP.
Mais toujours rien dans : C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\ProtocolLog
Par contre dans : C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLo g\SmtpSend avant même que j'active les logs, le dossier était déjà rempli de log mais rien d’intéressant il me semble

Pour se qui est de la file d'attente, elle est vide, j'ai vérifié dans l'afficheur de file d'attente de l'Exchange toolbox.

Comment je peux vérifié que le serveur n'est pas en Open Relay ?
Désolé je suis en train d'apprendre a utilisé Exchange, je ne connais pas tout les fonctionnalité.

Merci pour ton aide.

Cdlt,

sd82979
05/04/2016, 09h44
oui, manifestement, tu envoies du spam....

tu as regardé les logs de ton exchange ?
(SMTP send en particulier)
tu as regardé ce qu'il y a dans la file d'attente ?

tu l'as purgé après avoir modifié la configuration ? (ta config actuelle est peut etre bonne mais tu as de spams de la semaine derniere qui sont encore en attente)

de plus, IPBloclListProvider et les SCL sont pour les mails entrants !!!!
ton problème est sur les sortants.

ton serveur est open relay ? si oui, cherche pas plus loin.

Yooshi
02/04/2016, 19h40
Bonjour,

Je loue actuellement un serveur dédié chez OVH sur le quel je fait tourné un ESX.

J'ai installé une VM avec Exchange 2013 que j'ai configuré pour communiqué avec l’extérieure.

Le problème c'est que OVH me block le port 25 sur l'adresse IP public pour cause de spam.

Je ne sait plus trop quoi faire pour réglé le problème, j'ai fait pas mal de configuration mais pas moyen de réglé le pb...

J'ai configuré les IPBloclListProvider et les SCL mais toujours rien quand je débloque le port chez OVH il est rebloqué 10sec après pour cause de spam.

Quelqu'un a une idée ?

Merci d'avance