Lotus рассылает spam.

[Brainiacs]

Доброго времени!!!

Очень нужна помощь:

Исходные данные:

Сеть, 25 компьютеров. 3 сервера на Win2k3SP2 из них 1,2-ой контролеры
домена и 3-й Internet server на нем ISA.
На 2-ом стоит Lotus Domino Server.

1. IP 10.10.3.1
2. IP 10.10.3.2
3. IP 10.10.3.10

Программное обеспечение:

На серверах:

Windows Server 2003 Enterprise Edition SP2
McAfee Virus Scan Enterprise 8.0
ISA Server 2004 v.4.0.2165.594
Lotus Domino 6.5

Проблема:

На 2-ом контролере, где стоит Lotus Server, который собирает/отправляет/получает почту со всей сети, соответственно
заведено определенное количество ящиков и один из них info@mydomen.ru.

Ситуация в следующем на этот ящик постоянно приходят отчеты о сбоях доставки, бывает по 50-200 писем, в день может и больше, как я понял идет спам рассылка с моего почтового сервера.

Скриншоты удалены по просьбе топикстартера. FantomIL

Через какое-то время Lotus виснет и надо перезагружать комп и все начинается с начала!!!

Agnitum Outpost Firewall Pro 2008 (build 6.0.2225.232.465.287)

Журнал пакетов:

Скриншоты удалены по просьбе топикстартера. FantomIL

Активные процессы:

Скриншоты удалены по просьбе топикстартера. FantomIL

Используемые порты:

Скриншоты удалены по просьбе топикстартера. FantomIL

Process Explorer for Windows v10.21:

Цитата:

Process PID CPU Description Company Name
System Idle Process 0
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 348 Windows NT Session Manager Microsoft Corporation
csrss.exe 396 Client Server Runtime Process Microsoft Corporation
winlogon.exe 420 Windows NT Logon Application Microsoft Corporation
services.exe 468 0.76 Services and Controller app Microsoft Corporation
svchost.exe 660 Generic Host Process for Win32 Services Microsoft Corporation
log_qtine.exe 2004 Log and Quarantine application Networks Associates Technology, Inc.
naPrdMgr.exe 2156 NAI Product Manager Network Associates, Inc.
DAO_Log.exe 2732 McAfee DAO Logger application Networks Associates Technology, Inc.
wmiprvse.exe 184 WMI Microsoft Corporation
svchost.exe 804 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 876 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 912 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 928 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1196 Spooler SubSystem App Microsoft Corporation
msdtc.exe 1220 MS DTCconsole program Microsoft Corporation
acs.exe 1288 Agnitum Outpost Service Agnitum Ltd.
amgrsrvc.exe 1312 Alert Manager Service McAfee Division of Network Associates, Inc.
dfssvc.exe 1356 Windows NT Distributed File System Service Microsoft Corporation
dns.exe 1388 Domain Name System (DNS) Server Microsoft Corporation
svchost.exe 1440 Generic Host Process for Win32 Services Microsoft Corporation
HpDiags.exe 1464 HP Insight Diagnostics
ismserv.exe 1508 Windows NT Intersite Messaging Service Microsoft Corporation
nservice.exe 1524 IBM Lotus Notes/Domino IBM Corp
nserver.exe 1764 IBM Lotus Notes/Domino IBM Corp
nlogasio.exe 1884 IBM Lotus Notes/Domino IBM Corp
nevent.exe 2780 IBM Lotus Notes/Domino IBM Corp
nupdate.exe 3224 IBM Lotus Notes/Domino IBM Corp
nreplica.exe 3232 IBM Lotus Notes/Domino IBM Corp
nrouter.exe 3248 50.00 IBM Lotus Notes/Domino IBM Corp
namgr.exe 3268 IBM Lotus Notes/Domino IBM Corp
namgr.exe 4040 IBM Lotus Notes/Domino IBM Corp
nadminp.exe 3280 IBM Lotus Notes/Domino IBM Corp
nhttp.exe 3288 IBM Lotus Notes/Domino IBM Corp
nstaddin.exe 3296
nsmtp.exe 3312 IBM Lotus Notes/Domino IBM Corp
FrameworkService.exe 1544 Framework Service Network Associates, Inc.
VsTskMgr.exe 1632 Task Manager : scheduling and OAS alerting service Network Associates, Inc.
NAIlgpip.exe 1720 NAI Logging Pipe Server Networks Associates Technology, Inc.
nlsvc.exe 1784 NetLimiter 2 service Locktime Software
NLClient.exe 3936 NetLimiter 2 Client Locktime Software
ntfrs.exe 1816 File Replication Service Microsoft Corporation
Outbreak.exe 1932 Outbreak Manager Service Networks Associates Technology, Inc.
PPE_FldAgent.exe 1968 Policy Patrol Email Red Earth Software Ltd.
PPE_POP3DL.exe 2112 Policy Patrol Email Red Earth Software Ltd.
PPE_RemoteManager.exe 2248 Policy Patrol Email Red Earth Software Ltd.
PPE_Updater.exe 2292 Policy Patrol Email Red Earth Software Ltd.
svchost.exe 2376 Generic Host Process for Win32 Services Microsoft Corporation
s4service.exe 2392 CodeBase Database Server Sequiter Software Inc.
MailCFG.exe 2508
mailscan.exe 2536 WebShield SMTP Virus-scanning Mail Gateway Service Network Associates, Inc.
CpqRcmc.exe 2572 Compaq Remote Monitor Service Compaq
sysdown.exe 2592 HP ProLiant System Shutdown Service Compaq Computer Corporation
svchost.exe 3020 Generic Host Process for Win32 Services Microsoft Corporation
StLaunch.exe 3456 StLaunch Ubique
svchost.exe 1036 Generic Host Process for Win32 Services Microsoft Corporation
StCommLaunch.exe 4132 StCommLaunch ubique
StCommunity.exe 4148 STCommunity Ubique Ltd.
StConfiguration.exe 4168 STConfiguration Ubique, Ltd.
StLogger.exe 4200 Vp3Logger Ubique
StPlaces.exe 4232 Places component of the community ubique
StUsers.exe 4256 STUsers Ubique
StOnlineDir.exe 4296 STOnlineDir ubique
StBuddyList.exe 4336 STBuddyList Distribution Check ubique Ltd.
StConference.exe 4364 STConference Ubique
StDirectory.exe 4392 test (more debug info) Ubique
StChatLogging.exe 4420 StChatLogging Ubique
STPolling.exe 4448 STPolling Ubique
JavaLauncher.exe 4476 Java Launcher IBM
STResolve.exe 4520 StResolve Ubique
StUserStorage.exe 4552 StUserStorage Ubique
StPrivacy.exe 4600 StPrivacy Ubique
StMux.exe 4632 STMux Ubique
StAdminSrv.exe 4716 VpAdminSrv ubique
StGateway.exe 4748 StGateway Ubique
STSecurity.exe 4796 StStatistics ubique
lsass.exe 480 LSA Shell Microsoft Corporation
csrss.exe 2384 Client Server Runtime Process Microsoft Corporation
winlogon.exe 3916 Windows NT Logon Application Microsoft Corporation
rdpclip.exe 3340 RDP Clip Monitor Microsoft Corporation
explorer.exe 3980 Windows Explorer Microsoft Corporation
cpqteam.exe 3320 CPQTEAM.EXE Hewlett-Packard Company
UpdaterUI.exe 3760 Common User Interface Network Associates, Inc.
shstat.exe 792 On-access scanner statistics Network Associates, Inc.
op_mon.exe 856 Outpost User Interface Agnitum Ltd.
ctfmon.exe 1600 CTF Loader Microsoft Corporation
procexp.exe 452 0.76 Sysinternals Process Explorer Sysinternals
ctfmon.exe 4020 CTF Loader Microsoft Corporation
explorer.exe 3952 Windows Explorer Microsoft Corporation
cpqteam.exe 4220 CPQTEAM.EXE Hewlett-Packard Company
shstat.exe 5208 On-access scanner statistics Network Associates, Inc.
op_mon.exe 1252 Outpost User Interface Agnitum Ltd.
nlnotes.exe 968 48.48 IBM Lotus Notes/Domino IBM Corp
nfileret.exe 4092 IBM Lotus Notes/Domino IBM Corp
nlnotes.exe 5440 IBM Lotus Notes/Domino IBM Corp

Если нужна ещё какая-то информация - готов предоставить!!!
Как решить вопрос, я уже в спам листах, внешний IP статический!

With Best Regards
Brainiacs

[letitbe]

1. Пригласить спеца по лотусу.
2. Системного администратора.

[Brainiacs]

Сделал Open Relay Test:

Походу у меня Open Relay(((
У кого какие мысли, по моему вопросу???

P.S.

To letitbe

Спасибо, надеюсь что тебе так отвечать никогда не будут!

With Best Regards
Brainiacs

[vovik]

Цитата:

Сообщение от Brainiacs

Походу у меня Open Relay(((
У кого какие мысли, по моему вопросу??

Отключить сие на хрен. В корпоративке он вообще для чего? Зачем так ставили?
Вообще, довольно странно, что такие вопросы не задаются саппорту лотуса. Если же система ломаная, то начинать надо с проверки крэков.

PS: стенка это здорово, а что антивирус говорит?

[letitbe]

Как можно догадаться, как у тебя настроен Lotus?
Сходи сюда:
http://mkspmr.idknet.com/inc/domino/dbook.html
http://www-128.ibm.com/developerwork...ry/spam-smtp1/
И еще, судя по последней картинке, у тебя на 25-ом порту отвечает Webshield SMTP, в котором также есть дыр.

добавлено через 14 минут
И еще:
Here is how you disable it in Lotus Notes and one way of testing it.
Go to Server Configurations in Your Domino Administrator.
Go to the Router/SMTP tab, then the Restrictions and Controls Tab, then the SMTP Inbound Restrictions Tab.
In the Inbound and Relay Controls section, put an asterisk (*) in the "Deny messages from external internet domains" and in the "Deny messages from the following external internet hosts" field to deny all external messages.

Протестировать здесь:
http://www.abuse.net/relay.html

[werwulf]

Цитата:

Сообщение от Brainiacs

Сделал Open Relay Test:
Походу у меня Open Relay(((
У кого какие мысли, по моему вопросу???

зарубить 25 порт из вне стенкой
проанализировать с помощью netstat кто, где откуда, может внутри сети есть завирусованная машина ко всему вдобавок.
Перенастроить Лотус включить авторизацию, если пользователи работают из дома, если такого не требуется то запретить релей не из сети, заодно можно всем кому не надо запретить релей вне внутренней сети

[FantomIL]

Цитата:

Сообщение от werwulf

зарубить 25 порт из вне стенкой

Ага, и после этого никто вообще не сможет получать почту извне.

Brainiacs, скажи пожалуйста, Webshield SMTP - это SMTP сервер Лотуса? Если да, то тебе нужно настроить на нем авторизацию для outgoing messages и запретить релей для всех неавторизованных пользователей. Если же Webshield SMTP - некий левый SMTP, то сносить его и проверять систему на предмет руткитов.

[werwulf]

Цитата:

Сообщение от FantomIL

Ага, и после этого никто вообще не сможет получать почту извне.

конечно, не сможет.
сначала нужно проблемы решить, а не множить записи в блеклистах и сумму оплаты за трафик спам рассылок

[letitbe]

FantomIL:
Webshield SMTP - это примочка McAfee, которая сканирует почтовый трафик. При том, что McAfee умеет работать с базами Lotus, и некоторым количеством дыр в самом Webshield, ценность этой штуки представляется мне сомнительной.

[FantomIL]

добавлено через 11 минут

Цитата:

Сообщение от letitbe

Webshield SMTP - это примочка McAfee, которая сканирует почтовый трафик

То бишь она является релеем для Лотуса? Оно получает всю почту, а затем форвардит ее на Лотус? Так эта штука работает? Тогда настраивать ее на то, чтобы исходящая почта проходила только с авторизацией, а входящая - только для "своего" домена.

Я прошу прощения за "чисто теоретические" советы, но опыта работы с Лотус не имею. Но имею огромный опыт в работе с другими почтовыми серверами и организации почтовых услуг для десятков тысяч пользователей по всему миру. Исходя из этого словосочетания Open Relay и выделенный спам-сервер я считаю эквивалентными.

[letitbe]

Цитата:

Сообщение от FantomIL

То бишь она является релеем для Лотуса?

Глянув на скорую руку на сайт McAfee, нигде не нашел там слов SMTP relay касательно WebShield SMTP. Поэтому, думаю, что оно просто прикидывается релеем, а на самом деле все скармливает Лотусу. Что подтверждается тем фактом, что на скриншотах видно, что таки Лотус рассылает письма.
Как это прекратить - я написал выше:

Цитата:

Сообщение от letitbe

Here is how you disable it ...

Вообще-то, по нормальному, перед Лотусом ставится "человеческий" релей (sendmail, exim, postfix - по вкусу), а у Лотуса есть опция типа "smarthost".
2 Brainiacs:
P.S. Вот почему я и советовал пригласить или проконсультироваться со спецом по Лотусу. Это без обид, но Лотус - довольно сложная система. И почта там - это даже не одна десятая фич и возможностей.

[Brainiacs]

Доброго времени!!!!

Долго отсутствовал из-за командировки!!!

Цитата:

Сообщение от vovik

Зачем так ставили?

И я бы хотел знать, зачем вообще было Лотус ставить, на 25 пользователей!!!

Цитата:

Сообщение от vovik

а что антивирус говорит?

McAFee - все чисто
Nod32 - все чисто
Symantec - все чисто

To letitbe

Цитата:

Сообщение от letitbe

Как можно догадаться, как у тебя настроен Lotus?

Цитата:

Сообщение от Brainiacs

Если нужна ещё какая-то информация - готов предоставить!!!

Скажи, что где посмотреть, я здесь напишу!!!

*-ды поставил где надо!!!

Testing http://www.abuse.net/relay.html:



To werwulf

Цитата:

Сообщение от werwulf

...есть завирусованная машина...

Тоже так думаю, буду компы чистить, по-тихоньку!!!

Цитата:

Сообщение от werwulf

Перенастроить Лотус включить авторизацию, если...

Если, не сложно, поподробнее где это делается???

Цитата:

Сообщение от letitbe

Webshield SMTP - это при...

Снесу это дело!!!

Цитата:

Сообщение от letitbe

Вот почему я и советовал...

Я все понимаю, но задачу надо решать без специалистов этого профиля, самому то бишь, поэтому я прошу помощи у Вас т.к. сам решить пока не могу!!!

Сделал следующее:

1)Verify sender's domain in DNS - enable
2)Verify that local domain recipients exist in the Domino Directory - enable
3) DNS Blacklist filters - добавил
4) Deny connections from the following SMTP internet hostnames/IP addresses - слежу, добавляю по-тихоньку
5) Deny messages from the following internet addresses/domains - слежу, добавляю по-тихоньку
6) Deny messages to be sent to the following external internet domains: (* means all) * - поставил *
7) Server Rules - пока ничего не вносил

Изменения есть, но сервер периодически падает (делаю перезагрузку системы, он рассылает всем письма, и через некоторое время новые письма он уже не доставляет/получает, надо снова перезагружаться)
на info@mydomen.ru перестало приходить не реальное кол-во возвратов, типа не смог доставить, но иногда проскакивает!!!

Что ещё посоветуете, какие данные от меня ещё нужны???

With Best Regards
Brainiacs

[werwulf]

Цитата:

Сообщение от Brainiacs

Если, не сложно, поподробнее где это делается???

Тут присоединюсь к толпе тееоретиков, ибо что это было реализовано я видел своими глазами, а на вопрос как могу помочь только ссылками на лотусовый хелп
автоизация
https://alpha.cote-saint-luc.qc.ca/h...1?OpenDocument
релей
https://alpha.cote-saint-luc.qc.ca/h...3?OpenDocument
ну и целая глава там есть
Preventing unauthorized SMTP hosts from using Domino as a relay
(ссылка на релей в нее как часть входит)
https://alpha.cote-saint-luc.qc.ca/h...5?OpenDocument

[Brainiacs]

Доброго времени!!!

Подскажите где можно взять вот эти обновления:

1. Lotus Domino and Notes 6.5.4 Maintenance Release

2. Fix Pack 1 (FP1) for IBM Lotus Domino 6.5.4

3. Lotus Domino and Notes 6.5.5 Maintenance Release

4. Fix Pack 1 (FP1) for IBM Lotus Domino 6.5.5

5. Lotus Domino and Notes 6.5.6 Maintenance Release

P.S.

FixPack'и спокойно скачиваются с их сайта (2 выше упомянутых, не смог найти), а где взять релизы или как скачать???

With Best Regards
Brainiacs