IT Drift second & third line support

Att sÀtta upp ett SPF record för att minska SPAM och bedrÀgerier

Vad Àr ett SPF record och hur kan det minska SPAM ?

JufCorp AB hjÀlper företag och föreningar med frÄgor inom backup / restore , Disaster Recovery, IT sÀkerhet, molntjÀnster och Syspeace SPF recordI princip fungerar SPF record  sÄ att nÀr ni skickar ett mejl sÄ kontrollerar den mottagande mejlservern huruvida mejladressen eller rÀttare sagt den mejldomÀn ni skickar frÄn, i mitt fall alltsÄ @jufcorp.com, verkligen fÄr komma frÄn den IP adressen den ska.

Ett inte ovanligt problem i vÀrlden Àr att det Àr vÀldigt, vÀldigt lÀtt att utge sig för att skicka ett mejl som nÄgon annan.
Det finna massvis med hemsidor som beskriver hur det gÄr till och de anvÀnder s.k. Open Relay servrar ute pÄ nÀtet och helt enkelt utger sig för att vara dig. Det stÄr alltsÄ era mejladresser som avsÀndare.

En varningsklocka för att det hÀnder er kan vara t.ex. att det helt plötsligt börjar trilla in en massa mejl med felmeddelanden om att mejl inte gick att leverera och ni vet att ni inte skickat dem.
Om man granskar mejlhuvudet lite nÀrmare sÄ inser man att nÄgon har anvÀnt era mejladresser som avsÀndare men IP adressen dÀr mejlet har skickats frÄn (d.v.s mejlservern) Àr nÄgot helt annat Àn den ni anvÀnder.

Ett problem som kan dyka upp nÀr sÄnt hÀnder Àr att t.ex. er ISP tycker att det har skickats alldeles för mÄnga konstiga mejl med domÀn som avsÀndare och bestÀmmer sig för att helt sonika stÀnga av er frÄn att mejla ut överhuvudtaget.

Att sÀtta upp ett SPF record för att undvika s.k. spoofade adresser och minska mÀngden SPAM och bedrÀgerier Àr oftast en bra idé alltsÄ.

NÀr en mottagande mejlserver fÄr ett mejl sÄ kontrollerar den huruvida avsÀndardomÀnen verkligen kommer frÄn den mejlserver som Àr ansvarig för mejl genom att kontrollera SPF record.
Om det inte gör det sÄ skickas ett felsvar tillbaka och mejlet tas helt enkelt inte emot (OBS , alla mejlservrar Àr inte instÀllda pÄ att kontrollera det hÀr, det Àr upp till serveradministratören att sÀtta upp kontrollen).

Det hÀr Àr dock ÀndÄ en finurlig mekanism som minskar mÀngden SPAM och att folk skickar mejl i ert namn (det kan ju som sagt vara rena bedrÀgerier det handlar om)

Att sÀtta upp SPF record och saker att tÀnka pÄ

SPF record sÀtts upp i din publika DNS servern d.v.s den Àr en del av din DNS domÀn som finns publikt tillgÀnglig.
Det Àr ett s.k TXT record och kan se ut sÄ hÀr

“v=spf1 mx a ip4:164.40.177.83 a:ch-p-mailout01.sth.basefarm.net”

I det hÀr fallet sÄ betyder det att alla servrar som Àr uppsatta som MX pekare (dvs mejlservrar) för den hÀr domÀnen fÄr mejla i domÀnens namn.
Den har Ă€ven tillĂ€gget att IP adress “164.40.177.83” samt hostname “ch-p-mailout01.sth.basefarm.net” ocksĂ„ fĂ„r skicka mejl med den hĂ€r domĂ€nen som avsĂ€ndare.

De flesta ISPr tillÄter inte att man skickar ut mejltrafik pÄ port 25 direkt utan man mÄste anvÀnda deras relay servrar . Anledning torde vara att minska mÀngden SPAM frÄn datorer med virus, hackers o.s.v. Port 25 Àr helt enkelt lÄst om den inte gÄr via ISPns relay servrar

Jag anvÀnder Com Hem som leverantör och de i sin tur anvÀnder sig av Basefarm.
För att mejla ut frĂ„n Com Hem sĂ„ anger man next hop server (d.v.s relay server ) “mailout.comhem.se” som egentligen bara Ă€r ett alias för “smtp.comhem.basefarm.net” med IP adress “164.40.177.47”.

Det som hĂ€nder efter det Ă€r att Basefarm i sin tur skickar den hĂ€r trafiken vidare till ytterligare en server dvs till “ch-p-mailout01.sth.basefarm.net” med IP adress “164.40.177.83” och det Ă€r den adressen som kommer att synas för den mottagande mejlservern.

AlltsÄ, nÀr man sÀtter upp ett SPF record mÄste man ha koll pÄ hur kedjan ser ut d.v.s vilken IP adress kommer mottagande mejlserver att se som avsÀndande mejlserver.
TÀnk pÄ att det kan vara en pool av IP adresser det handlar om (för redundans t.ex. )

Mm ni sitter pÄ t.ex. Com Hems nÀt sÄ Àr det ovanstÄende saker som ska in i DNS medans t.ex Telia och TDC och andra har andra IP adresser. Enklast Àr att ringa dem och frÄga vilken IP adress som Àr den sista i kedjan för utgÄende SMTP.

Ytterligare en sak att tÀnka pÄ kan vara att om ni har t.ex. ett webbformulÀr nÄnstans som mejlar saker till er (t.ex. ett kontaktformulÀr) sÄ mÄste den IP adressen eller hostname ocksÄ vara tillÄten att skicka mejl eller ni mÄste Àndra avsÀndande mejldomÀn till nÄgot annat.

Kontrollera att ert SPF record fungerar

Ett sÀtt att kontrollera om ditt SPF record Àr korrekt uppsatt eller om ni ens har Àr t.ex. att surfa till http://www.kitterman.com/spf/validate.html och skriva in ert domÀnnamn.
Den hÀr kontrollen kan dock inte veta vad som Àr den sista i kedjan utan slÄr bara upp huruvida det finns ett SPF record och om det ser korrekt ut vad gÀller syntaxen.
Ni kan ocksÄ testa hur det fungerar med raderna lÀngst ner i formulÀret genom att ange rÀtt IP adress och fel IP adress som avÀsandande mailserver för att se hur en mottagande mailserver skulle reagera.

Vill ni ha hjÀlp med dessa frÄgor eller andra inom mina omrÄden sÄ vÀlkommen att kontakta mig hÀr

F Secure for Microsoft Exchange – ” Scan failed” , dropped messages on Microsoft Exchange 2010 #msexchange #security

konsult inom backup It sÀkerhet molntjÀnster Ätersartsplaner för IT

Today , an F Secure for Microsoft Exchange patch was automatically updated and all in and outbound mail stopped working on basically Every Microsoft Exchange 2010 Server I manage. Different Service Packs and so on so I knew it wasn’t a Windows Server nor Exchange Server error.
Trust me. That’s no fun and ones phone becomes hot by support calls if you manage multiple clients as I do. I also don’t think that whoever released this patch at F Secure is very people since he or she essentially rendered thousands of Exchange Servers unusable ..

After some testing back and forth I came up with that if one disables all of the antivirus scanning it will work but of course that’s not a good solutions.

A call to F Secure support (not very easy really to understand their website to be honest .. ) I finally got through to the support and the solution for the moment is to Disable the Gemini Engine in the Web console for F Secure

So, Quick guide.
Log in to the Web Console,
Click General
Click Engines

Select F-Secure Gemini 3.2.384 2015-09-24_01 2015-09-24 and click “Properties” and Click Disable”
It took a while but eventually it ended up as “Loaded but Disabled” for me and in and outbound email seem to work and is being scanned and so on.

When the actual problem will be solved I have no idea and nor did F Secure support .

I wouldn’t recommend anyone to disable the Content Scanning and Virus Scanning although it will make your email flow work again but should you be struck with a virus your day will rapidly turn into a not so fun day.

My contacts here

GrundlĂ€ggande sĂ€kerhet pĂ„ Windows Server – uppdaterad

GrundlÀggande sÀkerhet pÄ Windows server

backup disaster recovey kontinuitetsplaner IT sÀkerhet molntjÀnster syspeace

Jag skrev den hÀr saken för ett tag sen men har lagt till lite nya lÀnkar till programvaror o.s.v.

Kortfattat behlövs minst samtliga saker i den hÀr listan för att uppnÄ i vart fall en grundlÀggande sÀkerhet pÄ Windows server.
TyvÀrr kommer servern ÀndÄ inte vara fullstÀndigt skyddad Àven om du följer alla steg. Absolut sÀkerhet finns helt enkelt inte men det hÀr Àr i vart fall en lista för att göra ett antal grundlÀggande instÀllningar och steg.

Installerade program

1. Se till att alla progranvaraor Àr uppdaterade med senaste sÀkerhetsuppdateringarna. Det hÀr gÀller operativsystemet, Exchange, SQL men Àven Adobe, Java och allt annat som finns installerat. Det hÀr minskar risken för att rÄka ut för s.k. exploits som utnyttjkar sÄrbarheter i programvaror. Kika pÄ t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs nÀr en sÄrbarhet blivit publikt kÀnd men leverantören av programmet Ànnu inte slÀppt en uppdatering som avhjÀlper felet.

Antivirus

2. Se til att ha ett vÀl fungerande men inte för resusrkrÀvande antiviruws pÄ samtliga system. SjÀlv tycker jag om F Secures PSB lösning trots en del brister i software updater Àmen den fungerar ÀndÄ vÀldigt vÀl för systemadministratör. SÀtt upp larm pÄ virusangrepp!

Katalog och filrÀttigheter

3. Se till att gĂ„ igenom alla katalog och filrĂ€ttighter ordentligt och vilka anvĂ€ndare och grupepr som har tillgĂ„ng till vad. TĂ€nk pĂ„ att se till att anvĂ€ndare , bĂ„de interna och externa , endast ska kunna se det som de uttryckligen ska ha tillĂ„ng till. Inget annat. Ett exempel Ă€r t.ex. att begrĂ€nsa Ă„tkomst till diskar och dölja diskar pĂ„ Terminal Server (kolla t.ex. TS Hide Drives). Att sĂ€ttw upp rĂ€ttigheter pĂ„ fil och katalognivĂ„ Ă€r oerhört kraftfullt sĂ€tt att begrĂ€nsa tillgĂ„ngen till data. Testa innan du tillĂ„ter anvĂ€ndare att nĂ„ servern. Det Ă€r alltid svĂ„rare att och jobbigare att fixa till saker i eftehand nĂ€r servern Ă€r i drift. “Better to be denied than sorry”

Best practices

4. Se till att följa “best practices” för alla applikationer och tjĂ€nster du sĂ€tter upp. Googla. Ingen manual Ă€r komplett och programvarutillverkare tĂ€nker inte alltid pĂ„ kringliggande saker som kan pĂ„verka sĂ€kerhet och kompabilitet.

Loggning

5. Se till att ha loggning pÄslaget dÀr det gÄr. MÄnga program och funktioner har inte det pÄslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrÄng eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

Övervakning

6. Se till att ha en vÀl fungerande övervakning och inventering pÄ hela ditt nÀt. SjÀlv Àr jag en föresprÄkare för Spiceworks som Àr gratis som man kan göra vÀldigt mycket med.

SNMP och serveragenter

7. Om din server har olika typer av övervakningsagenter som kommer frÄn tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hÄrdvaran mÄr och larmar om olika typer av incidentter. Se till att ocksÄ sÀtta upp larm frÄn dem via mail till en funktionsbaserad maillÄda dvs inte till en person. Se ocksÄ till att ha en plan för incidenthantering pÄ plats och utpekade ansvarig för olika typer av fel.

Group Policies

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sÀtter dig in i det och kommer att underlÀtta administration, sÀkerhetshantering och anvÀndarhantering vÀldigt mycket.

SSL TLS och Internet

9. Om servern Àr nÄbar frÄn Intern, se till att ha giltiga SSL certifkat för alla tjÀnster so ska kommuniceras med. Det Àr inte sÄ dyrt man kan tro och kommer underlÀtta ocksÄ att fÄ en del funktioner att fungera smÀrtfritt. TÀnk dock pÄ att bara installera ett SSL certifikat inte rÀcker, du mÄste ocksÄ slÄ av en del svaga krypton o.s.v.

Onödiga tjÀnster och nÀtverksprotokoll

10. Stoppa tjÀnster, funktioner och nÀtverksprotokoll som inte anvÀnds. Minimiera attackytan för hackers, bÄde interna och externa, men spara Àven prestanda i serven. Du slipper ocksÄ onödigt tjattrig nÀtverkstrafik pÄ nÀtet . Behöver t.ex. DHCP Client vara igÄng pÄ en server ? Samma princip gÀller för skrivare och arbetsstattioner.

Lösenordspolicy

11 Tvinga komplexa lösenord för alla anvÀndare. Ett av de vanligaste sÀtten för hackers att ta sig in i system beror just pÄ svaga lösenord som enkelt gÄr att gissa sig till. Byt namn pÄ administratören dÄ kontot inte gÄr att lÄsa i Windows. HÀr Àr det ocksÄ viktigt att ha et fungerande intrÄngsskydd mot lösenordsattacker med Syspeace.

Namnstandard för inloggningar

12. AnvĂ€nd en bra namnstandard för inloggningar. AnvĂ€nd inte bara t.ex. förnamnn@ertföretag.se eller nĂ„got annat som Ă€r för uppenbart och enkelt. Ju svĂ„rare det Ă€r för en hacker att gissa sig till ett anvĂ€ndarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även hĂ€r Ă€r Syspeace en viktigt nyckel för hanteringen.

Backuper

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gÄng om Äret. Att ÄterlÀsa enskilda filer ur en backup Àr inte en Äterstartstest! Se Àven till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller tvÄ generationer att kunna falla tillbaka pÄ vid ett haveri kan vara katastrof t.ex. om backupen av nÄgion anledning Àr korrupt och inte gÄr att anvÀnda eller om ni blivit hackade och nmÄste fÄ tillbaka systemet till ett tillfÀlle ni vet med sÀkerhet Àr OK innan intrÄnget skedde.
Se till att ha MINST en fungerande enreation av backupern anÄgon annastans Àn i samma lokaler dÀr servern Àr utifall det brinner eller blir inbrott.

Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersÀtta backuper. All hÄrdvara kan falera, bÄde fysiskt och logiskt som korrupta filsystem.
Ett tips hĂ€r Ă€r ocksĂ„ att slĂ„ pĂ„ regelbundna VSS snapshots pĂ„ alla diskar . Enkelt, stabilt och billigt sĂ€tt att ha flera generationer av data att tillgĂ„ –

Scanna , hacka , sök aktivt efter brister

14. Scanna din server med olika verktyg efter sÄrbarheter och tips för att öka sÀkerheten.

BrandvÀggar och kommunikationer

15. TÀnk igenom hur serven kommunicerar med omvÀrlden vad gÀller brandvÀggar och routing i nÀtet. Ha Àven den lokala brandvÀggen pÄslagen i Windows, trots att den stÄr bakom en extern brandvÀgg.

Lösenordsattacker

16. Automatisk intrÄngshantering med Syspeace. I Windows gÄr det inte att automatiskt hantera lösenordsattacker pÄ ett vettigt sÀtt. De inbyggda mekanismerna kan t.o.m. göra mer skada Àn nytta. Att installera Syspeace löser mycket av problematiken direkt och Àr oerhört enkelt att installera och konfigurera.

Återstartsplaner för IT

17. Det hÀr hör pÄ sÀtt och vis ihop med punk 13 om backuper men se till att ha en vettig Äterstartsplan om nÄgot hÀnder.

Microsoft Baseline Security Analyzer

18. Kolla med Microsoft Baseline Security Analyzer sÄ du ocksÄ följer deras rekommenadtioner. Den Àr inte heltÀckande men anvÀndar för att ge en fingervisning

Kontakta mig för möte eller frÄgor

TLS 1.1, TLS 1.2 och SSL certifikat pÄ Microsoft IIS Server och Exchange Server

Vad Àr ett SSL certifikat ?

konsult inom backup It sÀkerhet molntjÀnster SSL

Ett SSL certifikat anvÀnds för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det hÀr Àr en vÀldigt viktig funktion bÄde ur sÀkerhetsaspekter men Àven ur funktionalitet dÄ mÄnga system idag krÀver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers) .
TLS Àr egentligen en vidareutveckling av just SSL Àven om man i dagligt tal pratar om just SSL certifikat.

SSL / TLS anvÀnds ocksÄ för att validera att servern Àr den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det hÀr certifikatet Àr giltigt och att det Àr den serven som faktiskt har det installerat.
Enklast ser du att allt stÄr rÀtt till om det stÄr https i adressfÀltet i din webblÀsare och att du inte har felmeddelanden kring certifikatet.

SSL Àr dock inget skydd mot t.ex. lösenordsattacker mot Windows Server. För den typen av skydd behövs Syspeace

RÀcker det att ha SSL installerat pÄ servern ?

MÄnga företag tror tyvÀrr att det rÀcker men det gör det inte. I den hÀr korta artikeln ska jag fokusera pÄ Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig Àven med att ha bara egenutfÀrdade certifikat dvs dessa valideras inte av en tredje part.
Det hÀr Àr absiolut inte att rekommendera i en driftsmiljö. Knappt ens i testmiljö eftersom det Àr en del manuell hantering och det Àr ofta svÄrt att helt efterlikna driftsmiljön.

Kontrollera er SSL installation gratis

Det finns gratis verktyg pÄ nÀtet för att kontrollera status och hur ni satt upp SSL pÄ just er IIS server.
Sök pÄ t.ex. SSL Check pÄ Google och ni kommer hitta mÄnga bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt grÀnssnitt och bra förklaringar till de olika delarna och Àven https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som Àven undersöker för sÄrbarheter mot t.ex. POODLE.

SSL och IIS server i standardinstallation

En standardinstallerad Windows server ger vanligen betyg F dvs underkÀnt, Àven om man installerat ett godkÀnt SSL certifikat.

MÄnga av standardvÀrdena i Microsoft IIS tillÄter svaga krypteringar och SSLv2 och SSLv3, och dessa borde inte tillÄtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs nÄgon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik) .
Det saknas Àven en del viktiga instÀllningar i registret för Forward Secrecy o.s.v

Det behövs alltsÄ fler ingrepp i servern och hÀr gÀller det att göra rÀtt och tÀnka pÄ t.ex. kompabilitet mot Activesync om det t.ex. Àr en Microsoft Exchange server men Àven för Remote Desktop Server.
Det krÀvs helt enkelt en del ingrepp i serverns registry vilket i vÀrsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjÀlp och frÄgor

Syspeace rapport – Exchange Server attackerad över 400 gĂ„nger pĂ„ nĂ„gra timmar

konsult inom backup It sÀkerhet molntjÀnster och infratruktur Att göra en server nÄbar över Internet , oavsett vad den gör, kommer per automatik att att göra den till mÄltavla för olika typer av intrÄngsförsök.
Det finns mÄnga olika typer av intrÄngsförösk och Àven med olika syften. En del attacker handlar om att pÄ ena eller andra sÀttet fÄ kontroll över hÄrdvara som CPU, RAM, Disk för att anvÀndas i andra attacker. Andra attaker syftar till att stjÀla data och en del försöker bara anvÀnda t.ex. en mail server för att gör s.k. realying d.v.s skicka SPAM meddelanden eller andra mail via en mailserver för att inte riskera att ens egen IP adress bli svartlistad. HÀr Àr en tidigare artikel jag skrev om olika typer av hacking attacker . OBS . PÄ engelska.

Den hÀr listan nedan Àr ett bra exempel pÄ precis en sÄn attack som intrÀffade igÄr och Àr en automatisk genererad Syspeace rapport som kommer per mail till systemaadministratören.
Varje rad Àr alltsÄ en Ip adress som försökte anvÀnda min mailserver till att skicka ut SPAM mail .
Samtliga attacker blockerades dock automatisk av Syspeace.
Notera gĂ€rna timmarna mellan kl 08 – 12 lĂ€ngre ner i sammanstĂ€llningen pĂ„ antalet attacker per timme.

Report for 2015-05-12

IP address Times Host name and country
——————– —– ——————————-
1.52.87.190 3 ; Vietnam (VN)
1.52.122.126 3 ; Vietnam (VN)
2.186.14.221 3 ; Iran, Islamic Republic of (IR)
2.189.154.42 3 ; Iran, Islamic Republic of (IR)
5.219.42.205 3 ; Iran, Islamic Republic of (IR)
5.223.24.99 3 ; Iran, Islamic Republic of (IR)
5.223.104.20 3 ; Iran, Islamic Republic of (IR)
5.251.38.50 2 ; Kazakhstan (KZ)
14.99.136.249 3 static-249.136.99.14-tataidc.co.in; India (IN)
14.161.37.108 3 mail.ttp.net.vn; Vietnam (VN)
14.169.155.10 3 ; Vietnam (VN)
14.169.222.5 3 ; Vietnam (VN)
14.177.134.252 2 ; Vietnam (VN)
27.3.128.183 3 ; Vietnam (VN)
27.77.34.63 3 ; Vietnam (VN)
27.77.135.131 3 ; Vietnam (VN)
27.77.144.136 2 ; Vietnam (VN)
27.79.105.254 3 ; Vietnam (VN)
27.105.42.42 3 27-105-42-42-adsl-khh.dynamic.so-net.net.tw; Taiwan (TW)
27.106.116.239 3 239.116.106.27-n4um-net4uindia.net; India (IN)
36.37.145.176 3 ; Cambodia (KH)
36.83.229.50 2 ; Indonesia (ID)
37.212.120.220 3 ; Belarus (BY)
37.215.118.21 3 ; Belarus (BY)
37.237.204.87 3 ; Iraq (IQ)
39.32.30.128 3 ; Pakistan (PK)
41.252.185.60 2 41.252.185.60.adsl.km4.dynamic.ltt.ly; Libya (LY)
41.254.2.208 3 41.254.2.208.zte-tip.wimax.dynamic.ltt.ly; Libya (LY)
41.254.9.101 2 ; Libya (LY)
46.99.147.11 3 ; Albania (AL)
46.100.132.7 3 ; Iran, Islamic Republic of (IR)
58.187.106.146 3 ; Vietnam (VN)
59.88.207.6 2 ; India (IN)
59.90.243.106 2 static.chennai.mp.59.90.243.106/21.bsnl.in; India (IN)
59.95.143.222 3 ; India (IN)
59.97.206.213 3 ; India (IN)
59.98.1.61 3 ; India (IN)
60.172.95.98 1 ; China (CN)
77.242.28.138 3 ; Albania (AL)
77.247.94.71 2 ; Albania (AL)
78.8.153.141 3 dynamic-78-8-153-141.ssp.dialog.net.pl; Poland (PL)
78.110.160.161 4 logistics1.openearth4.com; United Kingdom (GB)
78.152.183.58 2 ; Ukraine (UA)
79.106.12.167 3 ; Albania (AL)
79.129.40.59 2 scdental.static.otenet.gr; Greece (GR)
83.111.204.10 1 ; United Arab Emirates (AE)
85.96.192.37 3 85.96.192.37.static.ttnet.com.tr; Turkey (TR)
85.113.53.5 3 dynamicip-85-113-53-5.pppoe.samara.ertelecom.ru; Russian Federation (RU)
88.248.172.102 3 88.248.172.102.static.ttnet.com.tr; Turkey (TR)
92.55.100.130 3 ; Macedonia (MK)
93.74.5.218 3 ambassador.appraise.volia.net; Ukraine (UA)
93.91.194.24 3 ; Iraq (IQ)
93.117.11.244 3 ; Romania (RO)
94.178.105.94 3 94-105-178-94.pool.ukrtel.net; Ukraine (UA)
95.56.242.70 2 ; Kazakhstan (KZ)
95.188.132.199 2 ; Russian Federation (RU)
95.188.138.142 3 ; Russian Federation (RU)
103.14.251.218 3 218.loopback.sinet.com.kh; Cambodia (KH)
103.23.51.24 3 ; Mongolia (MN)
103.39.156.142 3 ; N/A (–)
103.247.239.55 3 ; Bangladesh (BD)
104.149.254.98 3 ; N/A (–)
108.13.189.113 1 static-108-13-189-113.lsanca.fios.verizon.net; United States (US)
109.66.42.117 3 bzq-109-66-42-117.red.bezeqint.net; Israel (IL)
109.188.125.10 3 client.yota.ru; Russian Federation (RU)
109.188.126.4 2 client.yota.ru; Russian Federation (RU)
113.160.225.43 3 static.vdc.vn; Vietnam (VN)
113.162.122.116 3 ; Vietnam (VN)
113.163.99.246 3 dynamic.vdc.vn; Vietnam (VN)
113.169.5.43 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.12.8 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.44.52 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.53.185 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.186.108.210 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.191.253.254 3 dynamic.vdc.vn; Vietnam (VN)
113.193.189.62 1 ; India (IN)
115.72.235.46 3 adsl.viettel.vn; Vietnam (VN)
115.85.46.82 3 82.46.85.115.dsl.service.eastern-tele.com; Philippines (PH)
115.97.81.229 2 ; India (IN)
115.118.237.21 3 115.118.237.21.static-mumbai.vsnl.net.in; India (IN)
115.248.39.17 3 ; India (IN)
116.106.42.185 3 ; Vietnam (VN)
116.111.6.136 3 ; Vietnam (VN)
116.111.65.141 3 ; Vietnam (VN)
116.111.110.135 3 ; Vietnam (VN)
116.111.202.214 3 ; Vietnam (VN)
116.118.39.241 1 ; Vietnam (VN)
116.202.34.111 3 ; India (IN)
117.6.209.45 3 ; Vietnam (VN)
117.192.221.94 2 ; India (IN)
117.196.150.228 3 ; India (IN)
117.197.98.6 1 ; India (IN)
117.197.103.89 2 ; India (IN)
117.200.120.8 2 ; India (IN)
117.206.187.240 2 ; India (IN)
117.206.190.40 3 ; India (IN)
117.207.48.68 2 ; India (IN)
117.217.112.199 3 ; India (IN)
117.217.132.132 3 ; India (IN)
117.220.153.136 2 ; India (IN)
117.222.68.125 2 ; India (IN)
117.223.117.142 3 ; India (IN)
117.242.204.189 2 ; India (IN)
118.71.185.84 3 ip-address-pool-xxx.fpt.vn; Vietnam (VN)
118.137.210.68 3 fm-dyn-118-137-210-68.fast.net.id; Indonesia (ID)
119.59.122.239 2 ; Thailand (TH)
120.60.134.142 3 triband-mum-120.60.134.142.mtnl.net.in; India (IN)
120.72.88.221 3 ; India (IN)
120.206.3.2 2 ; China (CN)
122.160.41.49 3 abts-north-static-049.41.160.122.airtelbroadband.in; India (IN)
122.161.169.72 2 abts-north-dynamic-072.169.161.122.airtelbroadband.in; India (IN)
122.169.71.69 2 abts-mum-dynamic-069.71.169.122.airtelbroadband.in; India (IN)
122.176.9.144 2 abts-north-static-144.9.176.122.airtelbroadband.in; India (IN)
123.20.208.52 3 ; Vietnam (VN)
123.23.107.243 2 ; Vietnam (VN)
123.23.119.68 3 ; Vietnam (VN)
123.26.33.67 3 EUROPA.JUFCORP.COM; Vietnam (VN)
124.248.189.95 3 fiber-189-95.online.com.kh; Cambodia (KH)
139.228.227.58 3 fm-dyn-139-228-227-58.fast.net.id; Indonesia (ID)
151.233.102.88 3 ; Iran, Islamic Republic of (IR)
159.224.41.1 3 1.41.224.159.triolan.net; Ukraine (UA)
171.224.128.102 3 ; Vietnam (VN)
171.224.192.59 3 ; Vietnam (VN)
171.249.123.136 2 ; Vietnam (VN)
178.90.76.90 3 178.90.76.90.megaline.telecom.kz; Kazakhstan (KZ)
178.91.64.52 3 178.91.64.52.megaline.telecom.kz; Kazakhstan (KZ)
178.91.90.125 3 178.91.90.125.megaline.telecom.kz; Kazakhstan (KZ)
178.122.98.193 2 mm-193-98-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
178.122.120.116 1 mm-116-120-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
179.24.79.20 3 r179-24-79-20.dialup.adsl.anteldata.net.uy; Uruguay (UY)
182.56.2.58 3 static-mum-182.56.2.58.mtnl.net.in; India (IN)
182.56.164.66 2 static-mum-182.56.164.66.mtnl.net.in; India (IN)
182.56.207.163 2 static-mum-182.56.207.163.mtnl.net.in; India (IN)
182.68.19.114 1 abts-north-dynamic-114.19.68.182.airtelbroadband.in; India (IN)
185.23.124.43 3 ; Saudi Arabia (SA)
188.121.117.89 3 ; Iran, Islamic Republic of (IR)
190.81.45.19 3 ; Peru (PE)
190.187.12.84 3 ; Peru (PE)
190.239.96.110 3 ; Peru (PE)
191.101.31.118 1 ; Chile (CL)
193.110.72.211 3 ; Ukraine (UA)
193.238.128.178 4 193.238.128.178.sta.211.ru; Russian Federation (RU)
194.158.210.210 3 ; Belarus (BY)
197.200.18.195 2 ; Algeria (DZ)
202.63.116.173 3 173-116-63-202.southernonline.net; India (IN)
203.189.159.71 3 ; Cambodia (KH)
211.99.28.17 2 ; China (CN)
212.34.12.182 3 ; Jordan (JO)
212.164.234.254 2 b-internet.212.164.234.254.nsk.rt.ru; Russian Federation (RU)
213.55.109.85 2 ; Ethiopia (ET)
213.55.115.35 4 ; Ethiopia (ET)
213.110.98.167 3 ; Ukraine (UA)
213.230.77.71 3 71.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.48 2 48.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.223 3 223.64.uzpak.uz; Uzbekistan (UZ)
213.230.83.74 1 74.64.uzpak.uz; Uzbekistan (UZ)
217.12.116.218 3 static.217.12.116.218.tmg.md; Moldova, Republic of (MD)
217.146.251.100 3 207302.user.farlep.net; Ukraine (UA)
220.231.122.253 3 ; Vietnam (VN)
222.74.81.42 2 42.81.74.222.broad.wh.nm.dynamic.163data.com.cn; China (CN)
222.252.223.2 3 ; Vietnam (VN)

Hourly breakdown (blocks per hour)
00 x4
01
02 x2
03 x1
04 x2
05 x1
06
07 x1
08 x69
09 x64
10 x13
11 x252

12 x4
13 x1
14 x2
15
16 x2
17 x3
18
19
20 x2
21 x4
22
23

Generated 2015-05-13 00:04:01 for machine europa.jufcorp.com by Syspeace v2.5.2.0

För mer information om hur du kan skydda era servrar frÄn ordboksattacker , kontakta mig hÀr

GrundlÀggande sÀkerhet pÄ Windows server

GrundlÀggande sÀkerhet för Windows server

backup disaster recovey kontinuitetsplaner IT sÀkerhet molntjÀnster syspeace

Kortfattat behlövs minst samtliga saker i den hÀr listan för att uppnÄ i vart fall en grundlÀggande sÀkerhet pÄ Windows server.
TyvÀrr kommer servern ÀndÄ inte vara fullstÀndigt skyddad Àven om du följer alla steg. Absolut sÀkrjhet finns helt enkelt inte men det hÀr Àr i vart fall en lista för att göra ett antal grundlÀggande instÀllningar och steg.

1. Se till att alla progranvaraor Àr uppdaterade med senaste sÀkerhetsuppdateringarna. Det hÀr gÀller operativsystemet, Exchange, SQL men Àven Adobe, Java och allt annat som finns installerat. Det hÀr minskar risken för att rÄka ut för s.k. exploits som utnyttjkar sÄrbarheter i programvaror. Kika pÄ t.ex. PDQeploy som jag tycker funkat bra i större miljöer för distribution.
Det skyddar dock inte mot en riktig Zero Day attack dvs nÀr en sÄrbarhet blivit publikt kÀnd men leverantören av programmet Ànnu inte slÀppt en uppdatering som avhjÀlper felet.

2. Se til att ha ett vÀl fungerande men inte för resusrkrÀvande antiviruws pÄ samtliga system. SjÀlv tycker jag om F Secures PSB lösning trots en del brister i software updater Àmen den fungerar ÀndÄ vÀldigt vÀl för systemadministratör. SÀtt upp larm pÄ virusangrepp!

3. Se till att gÄ igenom alla katalog och filrÀttighter ordentligt och vilka anvÀndare och grupepr som har tillgÄng till vad. TÀnk pÄ att se till att anvÀndare , bÄde interna och externa , endast ska kunna se det som de uttryckligen ska ha tillÄng till. Inget annat. Ett exempel Àr t.ex. att begrÀnsa Ätkomst till diskar och dölja diskar pÄ Terminal Server (kolla t.ex. TS Hide Drives). Att sÀttw upp rÀttigheter pÄ fil och katalognivÄ Àr oerhört kraftfullt sÀtt att begrÀnsa tillgÄngen till data. Testa innan du tillÄter anvÀndare att nÄ servern. Det Àr alltid svÄrare att och jobbigare att fixa till saker i eftehand nÀr servern Àr i drift.

4. Se till att följa “best practices” för alla applikationer och tjĂ€nster du sĂ€tter upp. Googla. Ingen manual Ă€r komplett och programvarutillverkare tĂ€nker inte alltid pĂ„ kringliggande saker som kan pĂ„verka sĂ€kerhet och kompabilitet.

5. Se till att ha loggning pÄslaget dÀr det gÄr. MÄnga program och funktioner har inte det pÄslaget som standard men du kan inte felsöka det du inte ser och att försöka hitat ett intrÄng eller annat fel i efterhand kan vara hopplöst om inte omöjligt.

6. Se till att ha en vÀl fungerande övervakning och inventering pÄ hela ditt nÀt. SjÀlv Àr jag en föresprÄkare för Spiceworks som Àr gratis som man kan göra vÀldigt mycket med.

7. Om din server har olika typer av övervakningsagenter som kommer frÄn tillverkaren (vilket de flesta har) se till att installera dem. De ger dig information om hur hÄrdvaran mÄr och larmar om olika typer av incidentter. Se till att ocksÄ sÀtta upp larm frÄn dem via mail till en funktionsbaserad maillÄda dvs inte till en person. Se ocksÄ till att ha en plan för incidenthantering pÄ plats och utpekade ansvarig för olika typer av fel.

8. Group policies dvs grupp principer. Oerhört kraftfullt verktyg om du sÀtter dig in i det och kommer att underlÀtta administration, sÀkerhetshantering och anvÀndarhantering vÀldigt mycket.

9. Om servern Àr nÄbar frÄn Intern, se till att ha giltiga SSL certifkat för alla tjÀnster so ska kommuniceras med. Det Àr inte sÄ dyrt man kan tro och kommer underlÀtta ocksÄ att fÄ en del funktioner att fungera smÀrtfritt. TÀnk dock pÄ att bara installera ett SSL certifikat inte rÀcker, du mÄste ocksÄ slÄ av en del svaga krypton o.s.v.

10. Stoppa tjÀnster, funktioner och nÀtverksprotokoll som inte anvÀnds. Minimiera atatckytan för hackers, bÄde interna och externa, men spara Àven prestanda i serven. Du slipper ocksÄ onödigt tjattrig nÀtverkstrafik pÄ nÀtet . Samma princip gÀller för skrivare och arbetsstattioner.

11 Tvinga komplexa lösenord för alla anvÀndare. Ett av de vanligaste sÀtten för hackers att ta sig in i system beror just pÄ svaga lösenord som enkelt gÄr att gissa sig till. Byt namn pÄ administratören dÄ kontot inte gÄr att lÄsa i Windows. HÀr Àr det ocksÄ viktigt att ha et fungerande intrÄngsskydd mot lösneordsattacker med Syspeace.

12. AnvĂ€nd en bra namnstandard för inloggningar. AnvĂ€nd inte bara t.ex. förnamnn@ertföretag.se eller nĂ„got annat som Ă€r för uppenbart och enkelt. Ju svĂ„rare det Ă€r för en hacker att gissa sig till ett anvĂ€ndarnamn desto fler försök komemr behövas för att ta sig in i systemet. Även hĂ€r Ă€r Syspeace en viktigt nyckel för hanteringen.

13. Backuper, backuper och BACKUPER! Se till att ha fungerande backuper och rutiner för dem. Testa dem regelbundet , minst en gÄng om Äret. Att ÄterlÀsa enskilda filer ur en backup Àr inte en Äterstartstest! Se Àven till att ha flera generationer av backuper och en IT policy som styr detta. Att bara ha en eller tvÄ generationer att kunna falla tillbaka pÄ vid ett haveri kan vara katastrof t.ex. om backupen av nÄgion anledning Àr korrupt och inte gÄr att anvÀnda eller om ni blivit hackade och nmÄste fÄ tillbaka systemet till ett tillfÀlle ni vet med sÀkerhet Àr OK innan intrÄnget skedde.
Se till att ha MINST en fungerande enreation av backupern anÄgon annastans Àn i samma lokaler dÀr servern Àr utifall det brinner eller blir inbrott.
Att ha disksystem som RAID och andra failolver-lösningar kmemr aldrig att ersÀtta backuper. All hÄrdvara kan falera, bÄde fysiskt och logiskt som korrupta filsystem.
Ett tips hĂ€r Ă€r ocksĂ„ att slĂ„ pĂ„ regelbundna VSS snapshots pĂ„ alla diskar . Enkelt, stabilt och billigt sĂ€tt att ha flera generationer av data att tillgĂ„ –

14. Scanna din server med olika verktyg efter sÄrbarheter och tips för att öka sÀkerheten.

15. TÀnk igenom hur serven kommunicerar med omvÀrlden vad gÀller brandvÀggar och routing i nÀtet. Ha Àven den lokala brandvÀggen pÄslagen i Windows, trots att den stÄr bakom en extern brandvÀgg.

16. Automatisk intrÄngshantering med Syspeace. I Windows gÄr det inte att automatiskt hantera lösenordsattacker pÄ ett vettigt sÀtt. De inbyggda mekanismerna kan t.o.m. göra mer skada Àn nytta. Att installera Syspeace löser mycket av problematiken direkt och Àr oerhört enkelt att installera och konfigurera.

17. Det hÀr hör pÄ sÀtt och vis ihop med punk 13 om backuper men se till att ha en vettig Äterstartsplan om nÄgot hÀnder.

Kontakta mig för möte eller frÄgor

NDR (Non Delivery Reports) pÄ Microsoft Exchange 2010 för mail jag inte skickat

MÄnga NDR (Non Delivery Reports) pÄ Microsoft Exchange 2010 för mail jag inte skickat

backup disaster recovey  kontinuitetsplaner exchange server 2010 IT sÀkerhet molntjÀnster syspeace

Nyligen rÄkade jag ut för att det helt plötsligt började dyka upp vÀldigt mÄnga mail i min brevlÄda som sade att min mail jag skickat inte gick fram trots att jag inte skickat dem. Jag testade de vanliga kontrollerna men min server var inte öppen för relay som Àr standard i Exchnage 2010.
Nackdelen med de hÀr testerna Àr att de anger en anvÀndare som t.ex. anonymous@nÄgondomÀn.se som avsÀndare och den typen av relay Àr mycket riktigt inte Àr tillÄtet som standard.

Min första tanke var att det Ă€r nĂ„gon som spoofat min domĂ€n dvs man anvĂ€nder min mailadress som avsaĂ€ndare men t.ex. frĂ„n adressen Ă€r nĂ„gon annans namn som “Walter Banker” vilket i praktiken leder till att nĂ€r ett mail inte kan levereras sĂ„ skickas svaret tillbaka till min mailadress som Ă€r standard och dĂ„ fĂ„r man “Olevererbart” frĂ„n “Mail delivery systems” o.s.v.

Det hrÀ Àr vÀldigt lÀtt att göra och svÄrt att skydda sig mot tyvÀrr. Allt so behövs Àr en telnet klient.

Ett par tre mail sÄdÀr Àr inte hela vÀrlden men jag mÀrkte att det började bli hundratals inom loppet av nÄgra dagar sÄ nÄgot stod inte rÀtt till och den hÀr tyepn av probem kan i förlÀngningen orska att mailserven blir svartlistad ute i vÀrlden sÄ den helt enkelt knappt gÄr att anvÀnda. Problemet mÄste alltsÄ lösas.

Felsökning i SMTP logg

EFter jag tittade nÀrmare i loggarna pÄ serven sÄ mÀrkte jag att det var mailservrar som anslöt sig till mig, autentiserade sig som min anvÀndare satt till avsÀndare sÄ servern i sig tyckte det var ok .
HÀr nedan Àr ett exempel pÄ hur det sÄg ut i loggen för SMTP ( C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive)

2015-03-02T00:02:08.633Z,EUROPA\Default EUROPA,08D21EB6E51D0300,0,192.168.0.6:25,122.100.78.143:55545,+,,
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,1,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,2,192.168.0.6:25,122.100.78.143:55545,>,”220 EUROPA.jufcorp.com Microsoft ESMTP MAIL Service ready at Mon, 2 Mar 2015 01:02:08 +0100″,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,3,192.168.0.6:25,122.100.78.143:55545,< ,EHLO kadegy, 2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,4,192.168.0.6:25,122.100.78.143:55545,>,250-EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,5,192.168.0.6:25,122.100.78.143:55545,>,250-SIZE,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,6,192.168.0.6:25,122.100.78.143:55545,>,250-PIPELINING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,7,192.168.0.6:25,122.100.78.143:55545,>,250-DSN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,8,192.168.0.6:25,122.100.78.143:55545,>,250-ENHANCEDSTATUSCODES,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,9,192.168.0.6:25,122.100.78.143:55545,>,250-STARTTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,10,192.168.0.6:25,122.100.78.143:55545,>,250-X-ANONYMOUSTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,11,192.168.0.6:25,122.100.78.143:55545,>,250-AUTH NTLM LOGIN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,12,192.168.0.6:25,122.100.78.143:55545,>,250-X-EXPS GSSAPI NTLM,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,13,192.168.0.6:25,122.100.78.143:55545,>,250-8BITMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,14,192.168.0.6:25,122.100.78.143:55545,>,250-BINARYMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,15,192.168.0.6:25,122.100.78.143:55545,>,250-CHUNKING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,16,192.168.0.6:25,122.100.78.143:55545,>,250-XEXCH50,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,17,192.168.0.6:25,122.100.78.143:55545,>,250-XRDST,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,18,192.168.0.6:25,122.100.78.143:55545,>,250 XSHADOW,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,19,192.168.0.6:25,122.100.78.143:55545,< ,STARTTLS, 2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,20,192.168.0.6:25,122.100.78.143:55545,>,220 2.0.0 SMTP server ready,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,21,192.168.0.6:25,122.100.78.143:55545,*,,Sending certificate
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,22,192.168.0.6:25,122.100.78.143:55545,*,”CN=*.jufcorp.com, OU=HQ, O=JufCorp AB, L=Tumba, S=Tumba, C=SE”,Certificate subject
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,23,192.168.0.6:25,122.100.78.143:55545,*,”CN=GeoTrust SSL CA – G3, O=GeoTrust Inc., C=US”,Certificate issuer name
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,24,192.168.0.6:25,122.100.78.143:55545,*,036A6FA9E022316DD7080442BC6838F5,Certificate serial number
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,25,192.168.0.6:25,122.100.78.143:55545,*,17E89A5FD1E5596B40D260CF3319A7C0D28B7C33,Certificate thumbprint
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,26,192.168.0.6:25,122.100.78.143:55545,*,*.jufcorp.com;jufcorp.com,Certificate alternate names
2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,27,192.168.0.6:25,122.100.78.143:55545,< ,HELO kadegy, 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,28,192.168.0.6:25,122.100.78.143:55545,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate' 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,29,192.168.0.6:25,122.100.78.143:55545,>,250 EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,30,192.168.0.6:25,122.100.78.143:55545,< ,AUTH LOGIN, 2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,31,192.168.0.6:25,122.100.78.143:55545,>,334 ,
2015-03-02T00:02:14.842Z,EUROPA\Default EUROPA,08D21EB6E51D0300,32,192.168.0.6:25,122.100.78.143:55545,>,334
,
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,33,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow SMTPAcceptXShadow,Set Session Permissions
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,34,192.168.0.6:25,122.100.78.143:55545,*,JUFCORP\juha.jurvanen,authenticated
2015-03-02T00:02:16.105Z,EUROPA\Default EUROPA,08D21EB6E51D0300,35,192.168.0.6:25,122.100.78.143:55545,>,235 2.7.0 Authentication successful,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,36,192.168.0.6:25,122.100.78.143:55545,< ,MAIL FROM: ,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,37,192.168.0.6:25,122.100.78.143:55545,*,08D21EB6E51D0300;2015-03-02T00:02:08.633Z;1,receiving message
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,38,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.0 Sender OK,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,39,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,40,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,41,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,42,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,43,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,44,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,45,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,46,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.534Z,EUROPA\Default EUROPA,08D21EB6E51D0301,0,192.168.0.6:25,81.246.126.146:29327,+,,

Att slÄ av relay för autentiserade anvÀndare i Microsoft Exchange 2010

Eftersom servern tyckte att min anvÀndare Àr en giltig anvÀndare sÄ tycker den ocksÄ att jag som anvÀndare har rÀttigheter att skicka mail men utan att ange ett lösenord dvs i praktiken Àr servern öppen för relay bara man angivit ett anvÀndarnamn som finns i domÀnen. SjÀlvklart Àr det inte svÄrt för en hacker elelr spammer att lista ut en sÄn sak och min mailadress finns pÄ mÄnga forum o.s.v. sÄ det Àr inte svÄert att hitta mig.

För att lösa problemet slog jag av rÀttigheten att vilken anvÀndare som helst ska tillÄtas att skicka ut mail om den finns och det gjorde jag med följande kommande:

Get-ReceiveConnector “Default Europa” | Remove-ADPermission -user “NT AUTHORITY\Authenticated users” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

EFter Àndringen mÄste Microsoft Transport tjÀnsten startas om.

Kontakta mig för frÄgor

HjÀlp med daglig IT drift eller second line / third line support?

HjÀlp med IT drift, second line och third line support?

JufCorp backup disaster recovey kontinuitetsplaner IT sÀkerhet molntjÀnster syspeace IT drift

Jag kan hjÀlpa till som tekniker, projektledare eller ett rent bollplank för idéer kring Era system och Era behov inom IT drift.
Det kan vara Vid nyinstallationer, systembyten eller uppgraderingar dÀr jag kan hjÀlpa till med testande, acceptanstester och planering.

Inhyrd extra resurs för IT drift över semestrar och ledigheter eller hög belastning?

Jag kan tack vare min lÄnga erfarenhet inom driftsfrÄgor snabbt sÀtta mig in i hur Ert nÀt Àr byggt och vilka flöden som anvÀnds och dÀrigenom snabbt kunna vara till hjÀlp om ni har ett akut behov av tekniker pÄ den vanliga drifts-sidan. Nyckeln Àr red erfarenhet frÄn drift inom mÄnga olika branscher och mÄnga olika systembehov.
Den hÀr typen av driftuppdrag Àr ofta under en kortare period eller pÄ deltid kanske nÄgon dag i veckan.

HjÀlp med helpdesk, support och applikationsdrift?

Jag kan hjÀlpa er i helpdesk / servicedesk och supportfrÄgor till anvÀndarna inom de flesta vanliga applikationer och nÀtverksfrÄgor.
PÄ Red Cloud IT har jag, föruom rollen som cloud architect, varit den som Àr den hjÀlpt till med first line support och hanterat Helpdesk. Jag har Àven jobbat mycket med processser och arbetsflöden i en servicedesk och helpdesk.

Arbetstationer och anvÀndarna

Jag har arbetat en del med att automatisera och förenkla olika installationer med t.ex MSI paketering och uppgraderingar frÄn centralt hÄll med t.ex. Microsoft SMS Server eller andra verktyg. Att tÀnka igenom instaltonsflöden oc patchhanteringar sparar bÄde pengar och tid.

Kontakta mig för ett möte

%d bloggers like this: