Lotus рассылает spam.
 

Доброго времени!!!

Очень нужна помощь:

Исходные данные:

Сеть, 25 компьютеров. 3 сервера на Win2k3SP2 из них 1,2-ой контролеры
домена и 3-й Internet server на нем ISA.
На 2-ом стоит Lotus Domino Server.

1. IP 10.10.3.1
2. IP 10.10.3.2
3. IP 10.10.3.10

Программное обеспечение:

На серверах:

Windows Server 2003 Enterprise Edition SP2
McAfee Virus Scan Enterprise 8.0
ISA Server 2004 v.4.0.2165.594
Lotus Domino 6.5

Проблема:

На 2-ом контролере, где стоит Lotus Server, который собирает/отправляет/получает почту со всей сети, соответственно
заведено определенное количество ящиков и один из них info@mydomen.ru.

Ситуация в следующем на этот ящик постоянно приходят отчеты о сбоях доставки, бывает по 50-200 писем, в день может и больше, как я понял идет спам рассылка с моего почтового сервера.

Скриншоты удалены по просьбе топикстартера. FantomIL

Через какое-то время Lotus виснет и надо перезагружать комп и все начинается с начала!!!

Agnitum Outpost Firewall Pro 2008 (build 6.0.2225.232.465.287)

Журнал пакетов:

Скриншоты удалены по просьбе топикстартера. FantomIL

Активные процессы:

Скриншоты удалены по просьбе топикстартера. FantomIL

Используемые порты:

Скриншоты удалены по просьбе топикстартера. FantomIL

Process Explorer for Windows v10.21:


Если нужна ещё какая-то информация - готов предоставить!!!
Как решить вопрос, я уже в спам листах, внешний IP статический!

With Best Regards
Brainiacs

1. Пригласить спеца по лотусу.
2. Системного администратора.

Сделал Open Relay Test:

Походу у меня Open Relay(((
У кого какие мысли, по моему вопросу???

P.S.

To letitbe

Спасибо, надеюсь что тебе так отвечать никогда не будут!

With Best Regards
Brainiacs

Отключить сие на хрен. В корпоративке он вообще для чего? Зачем так ставили?
Вообще, довольно странно, что такие вопросы не задаются саппорту лотуса. Если же система ломаная, то начинать надо с проверки крэков.

PS: стенка это здорово, а что антивирус говорит?

Как можно догадаться, как у тебя настроен Lotus?
Сходи сюда:
http://mkspmr.idknet.com/inc/domino/dbook.html
http://www-128.ibm.com/developerwork...ry/spam-smtp1/
И еще, судя по последней картинке, у тебя на 25-ом порту отвечает Webshield SMTP, в котором также есть дыр.

добавлено через 14 минут
И еще:
Here is how you disable it in Lotus Notes and one way of testing it.
Go to Server Configurations in Your Domino Administrator.
Go to the Router/SMTP tab, then the Restrictions and Controls Tab, then the SMTP Inbound Restrictions Tab.
In the Inbound and Relay Controls section, put an asterisk (*) in the "Deny messages from external internet domains" and in the "Deny messages from the following external internet hosts" field to deny all external messages.

Протестировать здесь:
http://www.abuse.net/relay.html

зарубить 25 порт из вне стенкой
проанализировать с помощью netstat кто, где откуда, может внутри сети есть завирусованная машина ко всему вдобавок.
Перенастроить Лотус включить авторизацию, если пользователи работают из дома, если такого не требуется то запретить релей не из сети, заодно можно всем кому не надо запретить релей вне внутренней сети

Ага, и после этого никто вообще не сможет получать почту извне.

Brainiacs, скажи пожалуйста, Webshield SMTP - это SMTP сервер Лотуса? Если да, то тебе нужно настроить на нем авторизацию для outgoing messages и запретить релей для всех неавторизованных пользователей. Если же Webshield SMTP - некий левый SMTP, то сносить его и проверять систему на предмет руткитов.

конечно, не сможет.
сначала нужно проблемы решить, а не множить записи в блеклистах и сумму оплаты за трафик спам рассылок

FantomIL:
Webshield SMTP - это примочка McAfee, которая сканирует почтовый трафик. При том, что McAfee умеет работать с базами Lotus, и некоторым количеством дыр в самом Webshield, ценность этой штуки представляется мне сомнительной.

добавлено через 11 минут
То бишь она является релеем для Лотуса? Оно получает всю почту, а затем форвардит ее на Лотус? Так эта штука работает? Тогда настраивать ее на то, чтобы исходящая почта проходила только с авторизацией, а входящая - только для "своего" домена.

Я прошу прощения за "чисто теоретические" советы, но опыта работы с Лотус не имею. Но имею огромный опыт в работе с другими почтовыми серверами и организации почтовых услуг для десятков тысяч пользователей по всему миру. Исходя из этого словосочетания Open Relay и выделенный спам-сервер я считаю эквивалентными.

Глянув на скорую руку на сайт McAfee, нигде не нашел там слов SMTP relay касательно WebShield SMTP. Поэтому, думаю, что оно просто прикидывается релеем, а на самом деле все скармливает Лотусу. Что подтверждается тем фактом, что на скриншотах видно, что таки Лотус рассылает письма.
Как это прекратить - я написал выше:
Вообще-то, по нормальному, перед Лотусом ставится "человеческий" релей (sendmail, exim, postfix - по вкусу), а у Лотуса есть опция типа "smarthost".
2 Brainiacs:
P.S. Вот почему я и советовал пригласить или проконсультироваться со спецом по Лотусу. Это без обид, но Лотус - довольно сложная система. И почта там - это даже не одна десятая фич и возможностей.

Доброго времени!!!!

Долго отсутствовал из-за командировки!!!

И я бы хотел знать, зачем вообще было Лотус ставить, на 25 пользователей!!!
McAFee - все чисто
Nod32 - все чисто
Symantec - все чисто

To letitbe

Скажи, что где посмотреть, я здесь напишу!!!

*-ды поставил где надо!!!

Testing http://www.abuse.net/relay.html:



To werwulf

Тоже так думаю, буду компы чистить, по-тихоньку!!!

Если, не сложно, поподробнее где это делается???

Снесу это дело!!!

Я все понимаю, но задачу надо решать без специалистов этого профиля, самому то бишь, поэтому я прошу помощи у Вас т.к. сам решить пока не могу!!!

Сделал следующее:

1)Verify sender's domain in DNS - enable
2)Verify that local domain recipients exist in the Domino Directory - enable
3) DNS Blacklist filters - добавил
4) Deny connections from the following SMTP internet hostnames/IP addresses - слежу, добавляю по-тихоньку
5) Deny messages from the following internet addresses/domains - слежу, добавляю по-тихоньку
6) Deny messages to be sent to the following external internet domains: (* means all) * - поставил *
7) Server Rules - пока ничего не вносил

Изменения есть, но сервер периодически падает (делаю перезагрузку системы, он рассылает всем письма, и через некоторое время новые письма он уже не доставляет/получает, надо снова перезагружаться)
на info@mydomen.ru перестало приходить не реальное кол-во возвратов, типа не смог доставить, но иногда проскакивает!!!

Что ещё посоветуете, какие данные от меня ещё нужны???

With Best Regards
Brainiacs

Тут присоединюсь к толпе тееоретиков, ибо что это было реализовано я видел своими глазами, а на вопрос как могу помочь только ссылками на лотусовый хелп
автоизация
https://alpha.cote-saint-luc.qc.ca/h...1?OpenDocument
релей
https://alpha.cote-saint-luc.qc.ca/h...3?OpenDocument
ну и целая глава там есть
Preventing unauthorized SMTP hosts from using Domino as a relay
(ссылка на релей в нее как часть входит)
https://alpha.cote-saint-luc.qc.ca/h...5?OpenDocument

Доброго времени!!!

Подскажите где можно взять вот эти обновления:

1. Lotus Domino and Notes 6.5.4 Maintenance Release

2. Fix Pack 1 (FP1) for IBM Lotus Domino 6.5.4

3. Lotus Domino and Notes 6.5.5 Maintenance Release

4. Fix Pack 1 (FP1) for IBM Lotus Domino 6.5.5

5. Lotus Domino and Notes 6.5.6 Maintenance Release

P.S.

FixPack'и спокойно скачиваются с их сайта (2 выше упомянутых, не смог найти), а где взять релизы или как скачать???

With Best Regards
Brainiacs