No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2004
 ISA 2004 - Installazione e Configurazione
 ISA Server 2004 e SPAM
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

nanopeppe
Junior Member

145 Posts

Posted - 04/03/2011 :  08:49:28  Show Profile  Reply with Quote
Buongiorno a tutti. E' da un po di tempo che sto monitorando il traffico SMTP con il mio ISA perchè ultimamente sono entrato più volte in una blacklist e mi sono accorto che un PC invia spam a rotta di collo. Ho creato una rule su isa dove ho fatto:
Deny protocol SMTP, FROM 192.0.0.16 TO External. Eppure le mail vengono ugualmente passate come se la rule venisse bypassata.
Nel mio ISA ho configurato questa regola prima della regola che gestisce i protocolli di posta per i client interni, eppure dopo aver creato la regola per il PC infetto mi sono accorto che ISA monitora gli eventi SMTP della regola valida per tutti i client che dice:
ALLOW IMAP4, SMTP, NNTP POP£; FROM INTERNAL; TO EXTERNAL. Come posso fare per impedire al PC infetto di inviare spam?

Pazzo è chi non ha mai fatto pazzie...

IsaCab
Moderator

4298 Posts

Posted - 04/03/2011 :  09:45:44  Show Profile  Reply with Quote
Ciao,

per prima cosa direi che una pulizia del client in questione si rende necessaria.

Per secondo delle policy amministrative che impediscano (o per lo meno mitighino) il ripetersi dell'accaduto.

Nello specifico :

E' necessario capire con quale account viene inviato lo spam (account di posta interno op. esterno)

Se è interno devi lavorare sul tuo server SMTP.

Nel caso sia un esterno allora la regola che hai fatto va bene, ma probabilmente non viene metchata. Per sicurezza metti la regola in testa a tutte.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 04/03/2011 :  10:09:31  Show Profile  Reply with Quote
Ciao Isa.
Il pc in essere ha solo account di posta Exchange e niente altro e invia mail con il programma di posta chiuso.
Infatti ieri ho fatto una scansione generale con il nostro antivirus (ma non ha trovato nulla) e SpyBot che ha trovato qualcosa di sospetto e così ho eliminato il tutto e immunizzato il tutto.
Però non cambia niente.

Pazzo è chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 04/03/2011 :  10:47:05  Show Profile  Reply with Quote
Ciao,

intanto puo verificare con un netstat o con un TCPVIEW quale programma si connette sulla porta 25 ..... insomma puoi fare delle indagini più approfondite..... ma questa è un'altra storia.

Per ISA, ripeto, prova a spostare la regole di Deny come prima e riverifica i log.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 04/03/2011 :  11:06:38  Show Profile  Reply with Quote
Dunque. Ho spostato il più in alto possibile la rule e in Exchange nel server virtuale SMTP, in proprietà, accesso, connessione, ho negato l'accesso al solo 192.0.0.16.
Ti farò avere notizie.

Pazzo è chi non ha mai fatto pazzie...
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association