Soy joven y nuevo en la escena, he estado trabajando en el servidor comercial de un miembro de la familia. Es un servidor antiguo y tiene algunos problemas, pero hay uno principal importante que estoy intentando solucionar ahora. Intentaré ser lo más limpio y conciso posible al explicar lo que necesito.
Los detalles del servidor:
El servidor es una caja antigua con hardware limitado: 50 Gb C: Unidad con solo 1,3 Gb libres Espacio total combinado en el disco duro: 270 Gb con 31 Gb libres Solo tiene 4 Gb de memoria RAM Tiene procesador Intel Xeon a 2,00 Ghz
El servidor también tiene software/sistema operativo antiguo: Ejecutando Small Business Server 2003 Service Pack 2 Ejecutando Exchange Server 2003
El problema:
Nuestro ISP recientemente incluyó el servidor en la lista negra. Al llamarlos, no brindaron soporte y dijeron que debería estar funcionando bien. Toda la configuración indicó que su conexión era el problema, por lo que le dijimos al servidor virtual SMTP que creara sus propios conectores usando DNS. Esto solucionó nuestros problemas de correo electrónico saliente. Sin embargo, ahora veo que tenemos una computadora infectada que puede estar enviando correos electrónicos masivos.
Aquí es donde empiezo a perder la noción de la situación. Lo que sucede es que en la cola del servidor Exchange tenemos muchos conectores a dominios que no existen y el seguimiento de mensajes muestra que se envían correos electrónicos masivos desde nuestro intercambio. Es de suponer que un virus o una computadora está intentando enviar spam o enviar virus a otras personas a través de nuestro servidor de Exchange.
Al principio estaba usando una cuenta de Gmail, bloqueé el privilegio de la cuenta de correo electrónico para enviar a través del servidor, pero luego volvió usando un correo electrónico diferente. Ahora nuestra cola está más atascada. no solo con intentos fallidos de correo electrónico, sino que todo el NDR no se puede enviar a un dominio real, por lo que también permanece en la cola. Esto ha dado lugar a que nuestra IP se incluya en una lista negra y a que nuestro servidor se obstruya.
Hice una prueba en Mxtoolbox para nuestro servidor de correo y decía que no había un relé abierto como pensé inicialmente.
Las publicaciones anteriores no han proporcionado instrucciones que no puedo seguir, comprender o adaptar a este servidor/mi problema.
¿Solución?:
- Una solución para evitar que nuestro intercambio envíe estos correos electrónicos masivos/detener el virus sin bloquear manualmente todos los correos electrónicos para que no envíen correos electrónicos distintos de los que yo especifique; de lo contrario, habrá problemas para abrir nuevas cuentas más adelante.
- Una pequeña explicación sobre lo que pasó para que lo entienda y pueda detenerlo/tener conocimiento para el futuro.
- Y una forma rápida de eliminar toda la cola cuando sé que no se está enviando ningún correo legítimo, ya que hay demasiados para eliminar cuando se utilizan los mensajes de búsqueda y eliminación sin NDR dentro de las colas.
- Con suerte, estas cosas nos ayudarán a mí y a otros en el futuro a comprender y solucionar lo sucedido.
Notas finales:
Cualquier ayuda será muy apreciada y cualquier sugerencia sobre dónde buscar o qué probar o hacer.
Entiendo que no soy el mejor administrador de servidores de correo, sin embargo, lo hago gratis ya que no tenemos dinero para gastar en soporte de TI, pero realmente necesitamos los servicios para el negocio y estoy haciendo lo mejor que puedo. . Si necesita más detalles o información, no dude en preguntar.
Gracias, Jesse Hayward.
Respuesta1
Después de más investigaciones y algo de sentido común logré encontrar una solución.
Si esto te sucede, ve al visor de eventos del sistema. Luego filtre sus eventos con MSExchangeTransport. Luego con autenticación. (Esto debe haberse activado previamente a través de la configuración de MSExchange). Una vez hecho esto, mire para ver qué cuenta de usuario se está utilizando para autenticar los correos electrónicos que se envían cuando se envía spam.
Lo más probable es que esta cuenta tenga una contraseña fácil de adivinar o haya dejado pasar un virus que la haya robado. Por lo tanto, es de esperar que deshabilitar la cuenta si es necesario o cambiar la contraseña debería evitar que el problema continúe.