Czy jestem źródłem spamu?
14 lipca 2008 11:31
Patryk Królikowski
Chciałbym wiedzieć jak mogę sprawdzić czy z naszego adresu IP nie są rozsyłane wiadomości ze spamem. Jako serwera poczty używamy Microsoft Exchange. Chciałbym być pewny, że nie jesteśmy źródłem spamu i uniknąć sytuacji, w której zostaniemy zablokowani.
Na ten problem należałoby spojrzeć z dwóch różnych perspektyw. Pierwsza, to sprawdzenie czy ktoś z zewnątrz nie wykorzystuje Waszego serwera pocztowego do wysyłania spamu. Druga, to upewnienie się, że któraś ze stacji roboczych w sieci lokalnej nie została zainfekowana i służy jako bot rozsyłający spam bez wiedzy użytkownika. Nie tak całkiem dawno spotkaliśmy się z ciekawą sytuacją: Dział marketingu jednej z firm wykorzystywał generator mailowy - typowe oprogramowanie używane przez spamerów do zautomatyzowanego rozsyłania setek maili. Robił to, aby wysyłać informacje o nowych produktach do klientów znajdujących się na liście mailingowej. Wiadomości te rozsyłane były w bardzo krótkim okresie czasu, co spowodowało umieszczenie adresu IP i domeny tej firmy na czarnej liście. Jest kilka metod na uporanie się z taką sytuacją, ale to już temat na osobną poradę.
Są proste sposoby, które moglibyśmy polecić na początek. Po pierwsze - łaty i aktualizacje. I to nie tylko na samego Exchange'a ale także na system operacyjny, na którym pracuje. Dlaczego? Przede wszystkim dlatego, że tak mówią dobre praktyki, a nie warto powielać błędów innych. Ponadto, produkty firmy Microsoft są bardzo często brane na celownik co sprawia, że aktualizacje są wręcz nieodzowne. W ten sposób zminimalizujemy szansę na wykorzystanie eksploitu i przejęcie serwera pocztowego.
Inną czynnością, którą warto powtarzać jest odwiedzanie konsoli Exchange System Manager i obserwowanie kolejek poczty wychodzącej. Jeden rzut oka i możemy udzielić odpowiedzi na pytanie, czy nasz serwer nie wysyła spamu. Szukać trzeba nazw domen, na które wysyłana jest nienaturalnie duża liczba wiadomości pojawiających się w kolejce. Dodatkowo należy przyglądać się samym nazwom domen, do których wysyłana jest poczta. Jeżeli nasza firma nie robi interesów z Chinami, to obecność domen chińskich powinna wzbudzić niepokój i może wskazywać, że jednak rozsyłamy spam. Jeżeli podejrzewamy, że jesteśmy spamerami, to takie sprawdzenia powinny być wykonywane przynajmniej kilka razy w ciągu godziny. Exchange System Manager pokazuje jedynie to, co dzieje się w systemie w określonym czasie. Dobrze jest więc wiedzieć jak system pracuje kiedy wszystko jest w porządku i jakie jest jego typowe zachowanie. W ten sposób uzyskamy punkt odniesienia i będziemy mogli szybciej wykryć nieprawidłowości.
Kolejnym źródłem informacji może być sprawdzanie raz na jakiś czas baz danych zawierających adresy IP oraz domeny spamerów - tzw. RBL (Real-time Blackhole List). Godnym polecenia jest moduł RBL serwisu
Robtex.com, który dostarczy informacji o stanie naszego adresu IP w oczach wielu serwisów RBL.
To, o czym tutaj napisaliśmy nie jest czynnością jednorazową, ale procesem, który należy w miarę regularnie powtarzać. Czasami, paradoksalnie, instalacja łaty, albo niewielka zmiana konfiguracji może sprawić, że zaczniemy pełnić rolę relaya spamowego. Warto więc być przygotowanym i nie dać się zaskoczyć.
Artykuł powstał na podstawie materiałów IDG.
odpowiada...
wydrukuj
wyślij do znajomego