Problema Spam [complicato] - Forum Internet & Hi-Tech

Indice del forum → Motobar → Forum Internet & Hi-Tech

Pagina 1 di 1

Problema Spam [complicato]

4129733

4129733 Inviato: 8 Apr 2008 18:47
Oggetto: Problema Spam [complicato]

Qualcuno mi suggerisce il nome di un software dedicato a rintracciare la fonte dello spam all'interno di una rete di PC.

NON devo difendermi dallo SPAM in entrata, ma capire da quale PC della rete lan aziendale si genera quello in uscita.

Grazie

88mph

Very Important Tinga

Ranking: 2348

4132148

4132148 Inviato: 8 Apr 2008 21:40
Oggetto: Re: Problema Spam [complicato]

88mph ha scritto:

Devi fare una verifica partendo dai log del mail server.
Se un client specifico spara spam a nastro ti basta verificare dai log le occorrenze per client.
Questo dipende da vari fattori, cosa utilizzi come mail server in primis.

A-Drew

Impennata

Ranking: 322

4133150

4133150 Inviato: 9 Apr 2008 7:24
Oggetto: Re: Problema Spam [complicato]

A-Drew ha scritto:

Non credo abbia accesso ai log, altrimenti non ci avrebbe posto il quesito...

Immagino che la rete sia fatta da "pochi" pc e che, come gateway, ci sia un normale router.

Se è così prova ad analizzare il traffico con wireshark o con ntop

Tolteco

Very Important Tinga

Ranking: 329

4135014

4135014 Inviato: 9 Apr 2008 11:47
Oggetto: Re: Problema Spam [complicato]

Tolteco ha scritto:

Se effettivamente non c'è server quoto il controllo con wireshark...
Ma se non hanno un gateway dubito abbiano un mail server interno, per cui, se è così, dubito tu riesca a vedere da dove parte lo spam.

shadowbass

Ginocchio a Terra

Ranking: 257

4135343

4135343 Inviato: 9 Apr 2008 12:28

Quoto entrambi ma è da invasati sapere che c'è un problema di spam interno e non intervenire sul server.

Rischiano di essere messi nelle blacklist e di non poter mandare più mail.

A-Drew

Impennata

Ranking: 322

4135976

4135976 Inviato: 9 Apr 2008 13:34

A-Drew ha scritto:

Quoto entrambi ma è da invasati sapere che c'è un problema di spam interno e non intervenire sul server.

Rischiano di essere messi nelle blacklist e di non poter mandare più mail.

Stravero...anzi io consiglio preventivamente di controllare se siete già segnalati sulla lista di Spamhaus.org

shadowbass

Ginocchio a Terra

Ranking: 257

4142799

4142799 Inviato: 10 Apr 2008 0:32

grazie per i suggerimenti:

spiego la situazione:

1) siamo già in blacklist

2) la rete è costituita da una ADSL Telecom che finisce su un router Telecom Thomson che finisce su un HUB, all'HUB sono attaccati 20 PC

3) Il router ha impostato il firewall su Standard

4) Il server di posta è esterno, sicuro, presso una società famosa di hosting e si trova fisicamente a Firenze mentre noi siamo a Roma

5) Se tento di inviare una mail sfruttando la webmail offerta dal server riesco nell'impresa, quando invece tentiamo di usare un programma di posta elettronica tipo Outlook o Thunderbird dal momento che dobbiamo sfruttare l'SMTP di Telecom (in particolare mail.cs.interbusiness.it) allora lo Spamcop ci restituisce un messaggio di errore che siamo in blacklist e in sostanza taglia sul nostro IP esterno la porta 25 cioè l'SMTP, mentre le altre funzionano normalmente tipo la 80 per internet.

6) Sono stati bonificati tutti i PC con un antivirus aggiornato ad oggi (ha rilevato un po' di robe, ma secondo me non c'entrano quasi nulla con questo problema).

7) Ho installato un firewall su tutti i PC che abilita solo Internet Explorer/Firefox e Outlook/Thunderbird

8) I PC anche con il Firewall non danno segni di voler inviare a manetta spam verso l'esterno, cioè il firewall non rileva nulla di anomalo.

HEEEELPP

Grazie

88mph

Very Important Tinga

Ranking: 2348

4144943

4144943 Inviato: 10 Apr 2008 11:56

Il fatto che siete già in black list significa che la cosa va avanti già da un pò..
Il firewall del router e dei pc serve fino a un certo punto.
Quello che farebbe la differenza è un antivirus con antispam integrato (in entrata e in uscita).

Non vi resta che chiedere a interbusiness di farvi sbloccare l'ip dalla lista e ripulire i vari pc in rete.

Chiaramente ti resta da capire da quale/i mandate spam.
Per farlo devi usare i metodi che abbiamo già scritto.

Il punto 7 non l'ho capito molto.. Lo spam può essere non legato al sw mail.

Il punto 8 è già meglio.
Se non noti particolare attività è un buon segnale..

Ciauz

A-Drew

Impennata

Ranking: 322

4145446

4145446 Inviato: 10 Apr 2008 12:54

Se i pc sono soltanto 20 fai prima a fare un bel giro di netstat su tutti, o, se sei poco pratico, usa tcpview e controlli quali prcessi stanno utilizzando il servizio smtp (o la porta 25).

Tieni presente che il firewall, in questo caso, non serve a nulla se non blocchi la porta 25... ma se la blocchi non spedisci le mail con outlook.

Toglimi una curisità: perché usate l'smtp di telecom per l'invio delle mail quando potreste utilizzare quello del vostro doninio semplicemente abilitando l'autenticazione del server?

Tolteco

Very Important Tinga

Ranking: 329

4147369

4147369 Inviato: 10 Apr 2008 15:15

Ma non si fa prima a mettere in mezzo un proxy, bloccare l'accesso SMTP se non attraverso il proxy, e vedere chi fa su danni? E' comunque una buona idea in una azienda.

Calimar

Ospite

Ranking: -

Pagina 1 di 1

Non puoi inserire nuovi Topic
Non puoi rispondere ai Topic
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi

Indice del forum → Motobar → Forum Internet & Hi-Tech