Open Relay

[Артур]

Попробуйте проверить Exchange с помощью Microsoft Safety Scanner

Проверил. Всё ок

 

[Артур]

А что не так ? Из мира вы от всех же почту должны получать, с яндекса gmail и тд.
Плохо если на шаге RCPT TO: mail@чужойдомен (адрес моего почтового ящика)
пропустит. Это плохо.

Вот служебные заголовки письма:
Received: from EXH.my.domain (192.168.1.100) by
EXH.my.domain (192.168.1.100) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2308.21 via Mailbox Transport; Wed, 19 Jan 2022 00:44:25 +0300
Received: from EXH.my.domain (192.168.1.100) by
EXH.my.domain (192.168.1.100) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2308.21; Wed, 19 Jan 2022 00:44:25 +0300
Received: from smtp.eniro.com (192.168.1.1) by EXH.my.domain
(192.168.1.100) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2308.21 via Frontend
Transport; Wed, 19 Jan 2022 00:44:25 +0300
Received: from web2.prod.crm.eniro (web2.prod.crm.eniro [172.27.160.214])
by smtp7.infra.eniro (8.14.4/8.14.4) with ESMTP id 20ILiOD9011495
for <mail@my.domain>; Tue, 18 Jan 2022 22:44:24 +0100
Received: by web2.prod.crm.eniro (Postfix, from userid 11054)
id 989DAA963F; Tue, 18 Jan 2022 22:44:24 +0100 (CET)
Date: Tue, 18 Jan 2022 22:44:24 +0100
To: <mail@my.domain>
From: <mail@my.domain>
Reply-To: <mail@my.domain>
Subject: Tax payment due within 2 days!
Message-ID: <211bd9ce91b4807e4b9430e78594c3ac@eniro.com>
X-Priority: 1
MIME-Version: 1.0
Content-Type: text/plain; charset=""
Content-Transfer-Encoding: 8bit
Return-Path: 84564859409506096079963116475708741@eniro.com
X-MS-Exchange-Organization-Network-Message-Id: 488b0eb8-bc72-4d91-16e4-08d9dacbb23a
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: EXH.my.domain
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.4083465
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2308.021

 

[dimon]

To: <mail@my.domain>
From: <mail@my.domain>
Reply-To: <mail@my.domain>

Хм... это получается он пишет сам себе и в копию ставит себя же? че то запутался немного.

 

[Goblin]

Вот служебные заголовки письма:
Received: from EXH.my.domain (192.168.1.100) by
EXH.my.domain (192.168.1.100) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2308.21 via Mailbox Transport; Wed, 19 Jan 2022 00:44:25 +0300
Received: from EXH.my.domain (192.168.1.100) by
EXH.my.domain (192.168.1.100) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2308.21; Wed, 19 Jan 2022 00:44:25 +0300
Received: from smtp.eniro.com (192.168.1.1) by EXH.my.domain
(192.168.1.100) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2308.21 via Frontend
Transport; Wed, 19 Jan 2022 00:44:25 +0300
Received: from web2.prod.crm.eniro (web2.prod.crm.eniro [172.27.160.214])
by smtp7.infra.eniro (8.14.4/8.14.4) with ESMTP id 20ILiOD9011495
for <mail@my.domain>; Tue, 18 Jan 2022 22:44:24 +0100
Received: by web2.prod.crm.eniro (Postfix, from userid 11054)
id 989DAA963F; Tue, 18 Jan 2022 22:44:24 +0100 (CET)
Date: Tue, 18 Jan 2022 22:44:24 +0100
To: <mail@my.domain>
From: <mail@my.domain>
Reply-To: <mail@my.domain>
Subject: Tax payment due within 2 days!
Message-ID: <211bd9ce91b4807e4b9430e78594c3ac@eniro.com>
X-Priority: 1
MIME-Version: 1.0
Content-Type: text/plain; charset=""
Content-Transfer-Encoding: 8bit
Return-Path: 84564859409506096079963116475708741@eniro.com
X-MS-Exchange-Organization-Network-Message-Id: 488b0eb8-bc72-4d91-16e4-08d9dacbb23a
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: EXH.my.domain
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.4083465
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2308.021

А у вас анти-спам фильтр есть ?

 

[dimon]

А у вас анти-спам фильтр есть ?

а чего толку.. Логи если там только поискать. Я все таки думаю что где то дыра в exchange и его через 443 порт ломают, если он опубликован. Я бы пошарился по почтовым ящикам типа Info@ или it@ если такие есть а именно по папкам черновики. Обычно там появляются непонятные письма. Или еще глубже надо копать...

 

[dimon]

Во вот так у меня было пока не пропатчился. Вот такая хрень в черновиках копилась у людей, но не у всех. Как то рандомно

 

[Goblin]

Может эта штука отключена в exchange
она недавно поубивала много серверов
Get-MalwareFilteringServer

 

[albatros]

Может эта штука отключена в exchange
она недавно поубивала много серверов
Get-MalwareFilteringServer

не это вряд-ли то что надо. Тогда бы очередь писем зависла. Пытаюсь разобрать заголовки..

Postfix, from userid 11054

Кто понял что это за постфикс ?

 

[butcher34608]

Эта штука прошла через уязвимость
Вот, что drweb нашел
Объект: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_rpshq.aspx.1c34a273.lpfto4wz.dll (неизвестно)
Тип: инфицирован
Угроза: BackDoor.WebshellNET.1

 

[dimon]

Эта штука прошла через уязвимость
Вот, что drweb нашел
Объект: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_rpshq.aspx.1c34a273.lpfto4wz.dll (неизвестно)
Тип: инфицирован
Угроза: BackDoor.WebshellNET.1

Пишут что Microsoft Defender ловит эту заразу. Может обновлений нет на него
Backdoor:ASP/Webshell
Detected by Microsoft Defender Antivirus

Aliases: No associated aliases
Summary

Microsoft Defender Antivirus detects and removes this threat.

 

[UEF]

Windows update спасет мир

 

[Артур]

Во вот так у меня было пока не пропатчился. Вот такая хрень в черновиках копилась у людей, но не у всех. Как то рандомно
Посмотреть вложение 11333

CU22 стоит?

 

[dimon]

неа, вот буду ставить на досуге.

 

[dimon]

Еще есть такой же пример на 2019 эксч, который тоже не на последнем CU. Такая же симптоматика

 

[Артур]

неа, вот буду ставить на досуге.

а патчил чем тогда?

 

[dimon]

а патчил чем тогда?

у меня разные организации, в одной есть cu 22 в другой нет в третьей 19 эксч тоже не патченый.

 

[dimon]

всмысле юрлица разные, не организации exchange

 

[NanoSuit]

у меня разные организации, в одной есть cu 22 в другой нет в третьей 19 эксч тоже не патченый.

Там есть еще security updates.
The FINAL list of all security updates (SU) released for older CU releases:
3/16/2021 released update for: E2013 SP1
3/11/2021 released updates for: E2019 RTM, CU1 and CU2. E2016 CU8, CU9, CU10 and CU11.
3/10/2021 released updates for: E2019 CU3. E2016 CU12, CU13 and CU17. E2013 CU21 and CU22.
3/8/2021 released updates for: E2019 CU4, CU5 and CU6. E2016 CU14, CU15 and CU16.

March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server | Microsoft Community Hub

To help customers more quickly protect their environments in light of the March 2021 Exchange Server Security Updates, Microsoft is producing an additional...

techcommunity.microsoft.com

 

[Артур]

Там есть еще security updates.
The FINAL list of all security updates (SU) released for older CU releases:
3/16/2021 released update for: E2013 SP1
3/11/2021 released updates for: E2019 RTM, CU1 and CU2. E2016 CU8, CU9, CU10 and CU11.
3/10/2021 released updates for: E2019 CU3. E2016 CU12, CU13 and CU17. E2013 CU21 and CU22.
3/8/2021 released updates for: E2019 CU4, CU5 and CU6. E2016 CU14, CU15 and CU16.

March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server | Microsoft Community Hub

To help customers more quickly protect their environments in light of the March 2021 Exchange Server Security Updates, Microsoft is producing an additional...

techcommunity.microsoft.com

Это я еще в 21 году делал

 

[NanoSuit]

Хм. Тогда странно что появляются подобные письма с подобными темами.

Subject: Tax payment due within 2 days!

У кого еще какие идеи есть ?