Open Relay

Артур сказал(а):
Received: from smtp.eniro.com (192.168.1.1) by EXH.my.domain
(192.168.1.100) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2308.21 via Frontend
Transport; Wed, 19 Jan 2022 00:44:25 +0300
Received: from web2.prod.crm.eniro (web2.prod.crm.eniro [172.27.160.214])
Нажмите, чтобы раскрыть...
Разве не отсюда письма идут ? Вроде на спам обычный похоже, не?
 
Engineer сказал(а):
Разве не отсюда письма идут ? Вроде на спам обычный похоже, не?
Нажмите, чтобы раскрыть...
Мутный лог какой то, и CRM непонятная

Received: from web2.prod.crm.eniro (web2.prod.crm.eniro [172.27.160.214])
by smtp7.infra.eniro (8.14.4/8.14.4) with ESMTP id 20ILiOD9011495
for <mail@my.domain>; Tue, 18 Jan 2022 22:44:24 +0100
Received: by web2.prod.crm.eniro (Postfix, from userid 11054)
id 989DAA963F; Tue, 18 Jan 2022 22:44:24 +0100 (CET)
Date: Tue, 18 Jan 2022 22:44:24 +0100
To: <mail@my.domain>
From: <mail@my.domain>
Reply-To: <mail@my.domain>
 
NanoSuit сказал(а):
Хм. Тогда странно что появляются подобные письма с подобными темами.

У кого еще какие идеи есть ? :unsure:
Нажмите, чтобы раскрыть...
Пока создал правила для блокировки писем с темой и содержимым "Tax payment due within 2 days!"

Сегодня буду ставить последний CU22 с патчем безопасности. А там посмотрим будет ли продолжаться проблема.
Microsoft Safety Scanner проверил сервера ничего не обнаружил, попробую скачать другой монитор (drweb например), им проверю
 
NanoSuit сказал(а):
Мутный лог какой то, и CRM непонятная

Received: from web2.prod.crm.eniro (web2.prod.crm.eniro [172.27.160.214])
by smtp7.infra.eniro (8.14.4/8.14.4) with ESMTP id 20ILiOD9011495
for <mail@my.domain>; Tue, 18 Jan 2022 22:44:24 +0100
Received: by web2.prod.crm.eniro (Postfix, from userid 11054)
id 989DAA963F; Tue, 18 Jan 2022 22:44:24 +0100 (CET)
Date: Tue, 18 Jan 2022 22:44:24 +0100
To: <mail@my.domain>
From: <mail@my.domain>
Reply-To: <mail@my.domain>
Нажмите, чтобы раскрыть...
Интересно если после установки CU22, я установлю последний SU, изменения предыдущих применятся?
1642790553814.png
 
NanoSuit сказал(а):
В смысле?:unsure: Ну это же накопительное обновление, оно содержит в себе предыдущие...
Нажмите, чтобы раскрыть...
CU я знаю что накопительное обновление, а SU в курсе. Пример, установил 22 CU, к данному пакету выпушено три SU, если я установлю SU от 11 января , будет ли он включать изменения SU от 9 октября и 12 ноября 2021г.?
 
по логике SU - это обновление безопасности, т.е оно исправляет какие то предыдущие косяки. А косяки могут быть разные, соответственно думаю надо все три ставить, потому как они исправляют разные баги.
 
Артур сказал(а):
CU я знаю что накопительное обновление, а SU в курсе. Пример, установил 22 CU, к данному пакету выпушено три SU, если я установлю SU от 11 января , будет ли он включать изменения SU от 9 октября и 12 ноября 2021г.?
Нажмите, чтобы раскрыть...
Хм. Точно не знаю. А где посмотреть security updates для exchange 2016 CU 22 про которые говорите? Киньте ссыль плиз
 
Привет, плюс еще один человек с такой же проблемой. Сижу смотрю по логам откуда что пришло и не понимаю. Эти письма идут с одного и того же адреса *@eniro com. Окей... То, что можно подменить отправителя - это понятно. То что можно просканировать по слитым базам адреса организации - это понятно. Но мне непонятно почему письмо пришло от имени внутренней группы пользователей которой нет в сетиo_O. У кого какие мысли? Пока что поставил правило на этот IP адрес и домен. Но как то стрёмно всё равно. Может чего подхватил. Антивирус говорит мол всё норм.
 
chastik2001 сказал(а):
Привет, плюс еще один человек с такой же проблемой. Сижу смотрю по логам откуда что пришло и не понимаю. Эти письма идут с одного и того же адреса *@eniro com. Окей... То, что можно подменить отправителя - это понятно. То что можно просканировать по слитым базам адреса организации - это понятно. Но мне непонятно почему письмо пришло от имени внутренней группы пользователей которой нет в сетиo_O. У кого какие мысли? Пока что поставил правило на этот IP адрес и домен. Но как то стрёмно всё равно. Может чего подхватил. Антивирус говорит мол всё норм.
Нажмите, чтобы раскрыть...
А у вас какая версия exchange ? Напишите пожалуйста до билда
 
Ну там еще выше в пищевой цепочке Exchange с проставленными Security Update. Может стоит накатить Security Update
Название продуктаДата выпускаНомер сборки
(краткий формат)		Номер сборки
(длинный формат)
Exchange Server 2016 CU22 Jan22SU11 января 2022 г.15.1.2375.1815.01.2375.018
Exchange Server 2016 CU22 Nov21SU9 ноября 2021 г.15.1.2375.1715.01.2375.017
Exchange Server 2016 CU22 Oct21SU12 октября 2021 г.15.1.2375.1215.01.2375.012
 
Engineer сказал(а):
Ну там еще выше в пищевой цепочке Exchange с проставленными Security Update. Может стоит накатить Security Update
Название продуктаДата выпускаНомер сборки
(краткий формат)		Номер сборки
(длинный формат)
Exchange Server 2016 CU22 Jan22SU11 января 2022 г.15.1.2375.1815.01.2375.018
Exchange Server 2016 CU22 Nov21SU9 ноября 2021 г.15.1.2375.1715.01.2375.017
Exchange Server 2016 CU22 Oct21SU12 октября 2021 г.15.1.2375.1215.01.2375.012
Нажмите, чтобы раскрыть...
На выходных попробую. Спасибо за ссылки) Но паранойя всё равно присутствует(
 
Возможно глупый вопрос, но существует ли такой троян, который не детектится антивирусом и может поднять себе привилегии от пользователя до админа? (Если это касается Windows Server 2012r2)
 
chastik2001 сказал(а):
Возможно глупый вопрос, но существует ли такой троян, который не детектится антивирусом и может поднять себе привилегии от пользователя до админа? (Если это касается Windows Server 2012r2)
Нажмите, чтобы раскрыть...
Доменного админа ?
А чем проверяетесь? Попробуйте разными тулзами. Malwarebytes например.
Проставлены ли обновления виндовые? Для Defender и тп:rolleyes:
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх