Czy nasz serwer pocztowy rozsyła SPAM?

Pomimo licznych zabezpieczeń zaimplementowanych w serwerze pocztowym Kerio Connect, mogą zdarzyć się przypadki, że nasz serwer zostanie użyty do wysyłania niechcianej korespondencji. Przyczyny problemu zwykle są dwie – przejęte dane do konta użytkownika, pozwalające na autoryzację SMTP lub infekcja na stacji końcowej, skutkująca wysyłaniem poczty przez klienta.

Mamy nadzieję, że artykuł ten pomoże wykryć i zdiagnozować czy serwer pocztowy jest wykorzystywany do rozsyłania SPAMu, a następnie pozwoli skutecznie znaleźć i usunąć przyczynę takiego stanu.

W przypadku skompromitowania serwera pocztowego Kerio Connect, najczęściej zaobserwować można:

• spowolnienie jego pracy,
• otrzymywanie komunikatów zwrotnych przez użytkowników, dotyczących wiadomości, których nie wysyłali,
• informacje, że adres IP serwera trafił na czarną listę,
• dużą ilość elementów w kolejce wiadomości, wysyłanych na nieznane adresy (zwykle w domenach Yahoo, AOL, Hotmail i innych).

Jeśli doświadczyłeś przynajmniej części z powyższych objawów, może to oznaczać, że hasło do jednego z kont pocztowych zostało odgadnięte lub komputer któregoś z pracowników ma wirusa/trojana, rozsyłającego niechciane wiadomości za pośrednictwem Twojego serwera pocztowego.

Najlepszym sposobem sprawdzenia czyje konto pocztowe zostało skompromitowane, jest włączenie wyświetlania dodatkowej kolumny w Kolejce wiadomości, widocznej w interfejsie Web administracji. Informacje wyświetlane w tej kolumnie zawierają dane konta, które wysłało podejrzane wiadomości.

Kolejkę wiadomości można znaleźć w Status -> Kolejka wiadomości. Po przesunięciu/ustawieniu wskaźnika myszy na dowolnej nazwie kolumny (np. Stan), należy rozwinąć menu (strzałką w dół lub prawym przyciskiem myszy), wybrać Kolumny i zaznaczyć wyświetlanie „Nadawcy uwierzytelnionego” oraz „Adresu IP nadawcy”.

Włączenie tych parametrów pozwala na sprawdzenie kto wysłał wiadomość i skąd została ona wysłana. Kolumna „Nadawca uwierzytelniony” pozwala wskazać konto, które zostało skompromitowane, a „Adres IP nadawcy” pozwala wskazać czy wiadomość została wysłana z sieci lokalnej (co może oznaczać wirusa lub trojana na stacji użytkownika) czy z zewnątrz (co oznacza, że hasło do konta użytkownika zostało złamane).

W przypadku, kiedy widzimy, że wszystkie podejrzane wiadomości (kierowane do nieznanych domen) zostały wysłane z jednego konta użytkownika, zwykle oznacza to, że zostało ono skompromitowane.

Aby rozwiązać zauważone problemy, należy:

1. Zmienić hasło użytkownika. Pod kątem bezpieczeństwa, dobrym rozwiązaniem może być także zmiana haseł wszystkich kont użytkowników (najlepiej na spełniające zasady złożoności).
2. Uruchomić skanowanie antywirusowe/antymalware’owe na każdej maszynie, z której korzystał użytkownik. Powinno ono wykryć i usunąć przyczynę problemu, w wyniku czego wysyłanie SPAMu powinno zostać zablokowane.