Exchange Server 2010

Att sätta upp ett SPF record för att minska SPAM och bedrägerier

Vad är ett SPF record och hur kan det minska SPAM ?

JufCorp AB hjälper företag och föreningar med frågor inom backup / restore , Disaster Recovery, IT säkerhet, molntjänster och Syspeace SPF recordI princip fungerar SPF record  så att när ni skickar ett mejl så kontrollerar den mottagande mejlservern huruvida mejladressen eller rättare sagt den mejldomän ni skickar från, i mitt fall alltså @jufcorp.com, verkligen får komma från den IP adressen den ska.

Ett inte ovanligt problem i världen är att det är väldigt, väldigt lätt att utge sig för att skicka ett mejl som någon annan.
Det finna massvis med hemsidor som beskriver hur det går till och de använder s.k. Open Relay servrar ute på nätet och helt enkelt utger sig för att vara dig. Det står alltså era mejladresser som avsändare.

En varningsklocka för att det händer er kan vara t.ex. att det helt plötsligt börjar trilla in en massa mejl med felmeddelanden om att mejl inte gick att leverera och ni vet att ni inte skickat dem.
Om man granskar mejlhuvudet lite närmare så inser man att någon har använt era mejladresser som avsändare men IP adressen där mejlet har skickats från (d.v.s mejlservern) är något helt annat än den ni använder.

Ett problem som kan dyka upp när sånt händer är att t.ex. er ISP tycker att det har skickats alldeles för många konstiga mejl med domän som avsändare och bestämmer sig för att helt sonika stänga av er från att mejla ut överhuvudtaget.

Att sätta upp ett SPF record för att undvika s.k. spoofade adresser och minska mängden SPAM och bedrägerier är oftast en bra idé alltså.

När en mottagande mejlserver får ett mejl så kontrollerar den huruvida avsändardomänen verkligen kommer från den mejlserver som är ansvarig för mejl genom att kontrollera SPF record.
Om det inte gör det så skickas ett felsvar tillbaka och mejlet tas helt enkelt inte emot (OBS , alla mejlservrar är inte inställda på att kontrollera det här, det är upp till serveradministratören att sätta upp kontrollen).

Det här är dock ändå en finurlig mekanism som minskar mängden SPAM och att folk skickar mejl i ert namn (det kan ju som sagt vara rena bedrägerier det handlar om)

Att sätta upp SPF record och saker att tänka på

SPF record sätts upp i din publika DNS servern d.v.s den är en del av din DNS domän som finns publikt tillgänglig.
Det är ett s.k TXT record och kan se ut så här

“v=spf1 mx a ip4:164.40.177.83 a:ch-p-mailout01.sth.basefarm.net”

I det här fallet så betyder det att alla servrar som är uppsatta som MX pekare (dvs mejlservrar) för den här domänen får mejla i domänens namn.
Den har även tillägget att IP adress “164.40.177.83” samt hostname “ch-p-mailout01.sth.basefarm.net” också får skicka mejl med den här domänen som avsändare.

De flesta ISPr tillåter inte att man skickar ut mejltrafik på port 25 direkt utan man måste använda deras relay servrar . Anledning torde vara att minska mängden SPAM från datorer med virus, hackers o.s.v. Port 25 är helt enkelt låst om den inte går via ISPns relay servrar

Jag använder Com Hem som leverantör och de i sin tur använder sig av Basefarm.
För att mejla ut från Com Hem så anger man next hop server (d.v.s relay server ) “mailout.comhem.se” som egentligen bara är ett alias för “smtp.comhem.basefarm.net” med IP adress “164.40.177.47”.

Det som händer efter det är att Basefarm i sin tur skickar den här trafiken vidare till ytterligare en server dvs till “ch-p-mailout01.sth.basefarm.net” med IP adress “164.40.177.83” och det är den adressen som kommer att synas för den mottagande mejlservern.

Alltså, när man sätter upp ett SPF record måste man ha koll på hur kedjan ser ut d.v.s vilken IP adress kommer mottagande mejlserver att se som avsändande mejlserver.
Tänk på att det kan vara en pool av IP adresser det handlar om (för redundans t.ex. )

Mm ni sitter på t.ex. Com Hems nät så är det ovanstående saker som ska in i DNS medans t.ex Telia och TDC och andra har andra IP adresser. Enklast är att ringa dem och fråga vilken IP adress som är den sista i kedjan för utgående SMTP.

Ytterligare en sak att tänka på kan vara att om ni har t.ex. ett webbformulär nånstans som mejlar saker till er (t.ex. ett kontaktformulär) så måste den IP adressen eller hostname också vara tillåten att skicka mejl eller ni måste ändra avsändande mejldomän till något annat.

Kontrollera att ert SPF record fungerar

Ett sätt att kontrollera om ditt SPF record är korrekt uppsatt eller om ni ens har är t.ex. att surfa till http://www.kitterman.com/spf/validate.html och skriva in ert domännamn.
Den här kontrollen kan dock inte veta vad som är den sista i kedjan utan slår bara upp huruvida det finns ett SPF record och om det ser korrekt ut vad gäller syntaxen.
Ni kan också testa hur det fungerar med raderna längst ner i formuläret genom att ange rätt IP adress och fel IP adress som aväsandande mailserver för att se hur en mottagande mailserver skulle reagera.

Vill ni ha hjälp med dessa frågor eller andra inom mina områden så välkommen att kontakta mig här

F Secure for Microsoft Exchange – ” Scan failed” , dropped messages on Microsoft Exchange 2010 #msexchange #security

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Today , an F Secure for Microsoft Exchange patch was automatically updated and all in and outbound mail stopped working on basically Every Microsoft Exchange 2010 Server I manage. Different Service Packs and so on so I knew it wasn’t a Windows Server nor Exchange Server error.
Trust me. That’s no fun and ones phone becomes hot by support calls if you manage multiple clients as I do. I also don’t think that whoever released this patch at F Secure is very people since he or she essentially rendered thousands of Exchange Servers unusable ..

After some testing back and forth I came up with that if one disables all of the antivirus scanning it will work but of course that’s not a good solutions.

A call to F Secure support (not very easy really to understand their website to be honest .. ) I finally got through to the support and the solution for the moment is to Disable the Gemini Engine in the Web console for F Secure

So, Quick guide.
Log in to the Web Console,
Click General
Click Engines

Select F-Secure Gemini 3.2.384 2015-09-24_01 2015-09-24 and click “Properties” and Click Disable”
It took a while but eventually it ended up as “Loaded but Disabled” for me and in and outbound email seem to work and is being scanned and so on.

When the actual problem will be solved I have no idea and nor did F Secure support .

I wouldn’t recommend anyone to disable the Content Scanning and Virus Scanning although it will make your email flow work again but should you be struck with a virus your day will rapidly turn into a not so fun day.

My contacts here

TLS 1.1, TLS 1.2 och SSL certifikat på Microsoft IIS Server och Exchange Server

Vad är ett SSL certifikat ?

konsult inom backup It säkerhet molntjänster SSL

Ett SSL certifikat används för att kryptera trafiken mellan en klientenhet (PC, MAC, Android , iPhone o.s.v. ) och en server. Det här är en väldigt viktig funktion både ur säkerhetsaspekter men även ur funktionalitet då många system idag kräver krypterad kommunikation för att fungera fullt ut som t.ex. Microsoft Exchange och Microsoft RDS Servers (Remote Desktop servers) .
TLS är egentligen en vidareutveckling av just SSL även om man i dagligt tal pratar om just SSL certifikat.

SSL / TLS används också för att validera att servern är den som den utger sig för att vara genom att din enhet kontrollerar med en tredje part att det här certifikatet är giltigt och att det är den serven som faktiskt har det installerat.
Enklast ser du att allt står rätt till om det står https i adressfältet i din webbläsare och att du inte har felmeddelanden kring certifikatet.

SSL är dock inget skydd mot t.ex. lösenordsattacker mot Windows Server. För den typen av skydd behövs Syspeace

Räcker det att ha SSL installerat på servern ?

Många företag tror tyvärr att det räcker men det gör det inte. I den här korta artikeln ska jag fokusera på Microsoft IIS Server d.v.s deras webbserver som finns inbyggd i Microsoft Windows Server.I en del fall nöjer man sig även med att ha bara egenutfärdade certifikat dvs dessa valideras inte av en tredje part.
Det här är absiolut inte att rekommendera i en driftsmiljö. Knappt ens i testmiljö eftersom det är en del manuell hantering och det är ofta svårt att helt efterlikna driftsmiljön.

Kontrollera er SSL installation gratis

Det finns gratis verktyg på nätet för att kontrollera status och hur ni satt upp SSL på just er IIS server.
Sök på t.ex. SSL Check på Google och ni kommer hitta många bra verktyg för detta. Personligen gillade jag https://sslcheck.globalsign.com/en_US eftersom den hade ett enkelt gränssnitt och bra förklaringar till de olika delarna och även https://www.ssllabs.com/ssltest/analyze.html?d=jufcorp.com&latest som även undersöker för sårbarheter mot t.ex. POODLE.

SSL och IIS server i standardinstallation

En standardinstallerad Windows server ger vanligen betyg F dvs underkänt, även om man installerat ett godkänt SSL certifikat.

Många av standardvärdena i Microsoft IIS tillåter svaga krypteringar och SSLv2 och SSLv3, och dessa borde inte tillåtas p..g.a. risken att de kan utnyttjas till olika saker (t.ex. datastöld, s.k. Man in the Middle attacker dvs någon annan utger sig för att vara den servern som du tror att du kommunicerar med men man avlyssnar egentligen all trafik) .
Det saknas även en del viktiga inställningar i registret för Forward Secrecy o.s.v

Det behövs alltså fler ingrepp i servern och här gäller det att göra rätt och tänka på t.ex. kompabilitet mot Activesync om det t.ex. är en Microsoft Exchange server men även för Remote Desktop Server.
Det krävs helt enkelt en del ingrepp i serverns registry vilket i värsta fall kan leda till att servern slutar fungera.

Kontakta mig för hjälp och frågor

Syspeace rapport – Exchange Server attackerad över 400 gånger på några timmar

konsult inom backup It säkerhet molntjänster och infratruktur Att göra en server nåbar över Internet , oavsett vad den gör, kommer per automatik att att göra den till måltavla för olika typer av intrångsförsök.
Det finns många olika typer av intrångsförösk och även med olika syften. En del attacker handlar om att på ena eller andra sättet få kontroll över hårdvara som CPU, RAM, Disk för att användas i andra attacker. Andra attaker syftar till att stjäla data och en del försöker bara använda t.ex. en mail server för att gör s.k. realying d.v.s skicka SPAM meddelanden eller andra mail via en mailserver för att inte riskera att ens egen IP adress bli svartlistad. Här är en tidigare artikel jag skrev om olika typer av hacking attacker . OBS . På engelska.

Den här listan nedan är ett bra exempel på precis en sån attack som inträffade igår och är en automatisk genererad Syspeace rapport som kommer per mail till systemaadministratören.
Varje rad är alltså en Ip adress som försökte använda min mailserver till att skicka ut SPAM mail .
Samtliga attacker blockerades dock automatisk av Syspeace.
Notera gärna timmarna mellan kl 08 – 12 längre ner i sammanställningen på antalet attacker per timme.

Report for 2015-05-12

IP address Times Host name and country
——————– —– ——————————-
1.52.87.190 3 ; Vietnam (VN)
1.52.122.126 3 ; Vietnam (VN)
2.186.14.221 3 ; Iran, Islamic Republic of (IR)
2.189.154.42 3 ; Iran, Islamic Republic of (IR)
5.219.42.205 3 ; Iran, Islamic Republic of (IR)
5.223.24.99 3 ; Iran, Islamic Republic of (IR)
5.223.104.20 3 ; Iran, Islamic Republic of (IR)
5.251.38.50 2 ; Kazakhstan (KZ)
14.99.136.249 3 static-249.136.99.14-tataidc.co.in; India (IN)
14.161.37.108 3 mail.ttp.net.vn; Vietnam (VN)
14.169.155.10 3 ; Vietnam (VN)
14.169.222.5 3 ; Vietnam (VN)
14.177.134.252 2 ; Vietnam (VN)
27.3.128.183 3 ; Vietnam (VN)
27.77.34.63 3 ; Vietnam (VN)
27.77.135.131 3 ; Vietnam (VN)
27.77.144.136 2 ; Vietnam (VN)
27.79.105.254 3 ; Vietnam (VN)
27.105.42.42 3 27-105-42-42-adsl-khh.dynamic.so-net.net.tw; Taiwan (TW)
27.106.116.239 3 239.116.106.27-n4um-net4uindia.net; India (IN)
36.37.145.176 3 ; Cambodia (KH)
36.83.229.50 2 ; Indonesia (ID)
37.212.120.220 3 ; Belarus (BY)
37.215.118.21 3 ; Belarus (BY)
37.237.204.87 3 ; Iraq (IQ)
39.32.30.128 3 ; Pakistan (PK)
41.252.185.60 2 41.252.185.60.adsl.km4.dynamic.ltt.ly; Libya (LY)
41.254.2.208 3 41.254.2.208.zte-tip.wimax.dynamic.ltt.ly; Libya (LY)
41.254.9.101 2 ; Libya (LY)
46.99.147.11 3 ; Albania (AL)
46.100.132.7 3 ; Iran, Islamic Republic of (IR)
58.187.106.146 3 ; Vietnam (VN)
59.88.207.6 2 ; India (IN)
59.90.243.106 2 static.chennai.mp.59.90.243.106/21.bsnl.in; India (IN)
59.95.143.222 3 ; India (IN)
59.97.206.213 3 ; India (IN)
59.98.1.61 3 ; India (IN)
60.172.95.98 1 ; China (CN)
77.242.28.138 3 ; Albania (AL)
77.247.94.71 2 ; Albania (AL)
78.8.153.141 3 dynamic-78-8-153-141.ssp.dialog.net.pl; Poland (PL)
78.110.160.161 4 logistics1.openearth4.com; United Kingdom (GB)
78.152.183.58 2 ; Ukraine (UA)
79.106.12.167 3 ; Albania (AL)
79.129.40.59 2 scdental.static.otenet.gr; Greece (GR)
83.111.204.10 1 ; United Arab Emirates (AE)
85.96.192.37 3 85.96.192.37.static.ttnet.com.tr; Turkey (TR)
85.113.53.5 3 dynamicip-85-113-53-5.pppoe.samara.ertelecom.ru; Russian Federation (RU)
88.248.172.102 3 88.248.172.102.static.ttnet.com.tr; Turkey (TR)
92.55.100.130 3 ; Macedonia (MK)
93.74.5.218 3 ambassador.appraise.volia.net; Ukraine (UA)
93.91.194.24 3 ; Iraq (IQ)
93.117.11.244 3 ; Romania (RO)
94.178.105.94 3 94-105-178-94.pool.ukrtel.net; Ukraine (UA)
95.56.242.70 2 ; Kazakhstan (KZ)
95.188.132.199 2 ; Russian Federation (RU)
95.188.138.142 3 ; Russian Federation (RU)
103.14.251.218 3 218.loopback.sinet.com.kh; Cambodia (KH)
103.23.51.24 3 ; Mongolia (MN)
103.39.156.142 3 ; N/A (–)
103.247.239.55 3 ; Bangladesh (BD)
104.149.254.98 3 ; N/A (–)
108.13.189.113 1 static-108-13-189-113.lsanca.fios.verizon.net; United States (US)
109.66.42.117 3 bzq-109-66-42-117.red.bezeqint.net; Israel (IL)
109.188.125.10 3 client.yota.ru; Russian Federation (RU)
109.188.126.4 2 client.yota.ru; Russian Federation (RU)
113.160.225.43 3 static.vdc.vn; Vietnam (VN)
113.162.122.116 3 ; Vietnam (VN)
113.163.99.246 3 dynamic.vdc.vn; Vietnam (VN)
113.169.5.43 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.12.8 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.44.52 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.53.185 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.186.108.210 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.191.253.254 3 dynamic.vdc.vn; Vietnam (VN)
113.193.189.62 1 ; India (IN)
115.72.235.46 3 adsl.viettel.vn; Vietnam (VN)
115.85.46.82 3 82.46.85.115.dsl.service.eastern-tele.com; Philippines (PH)
115.97.81.229 2 ; India (IN)
115.118.237.21 3 115.118.237.21.static-mumbai.vsnl.net.in; India (IN)
115.248.39.17 3 ; India (IN)
116.106.42.185 3 ; Vietnam (VN)
116.111.6.136 3 ; Vietnam (VN)
116.111.65.141 3 ; Vietnam (VN)
116.111.110.135 3 ; Vietnam (VN)
116.111.202.214 3 ; Vietnam (VN)
116.118.39.241 1 ; Vietnam (VN)
116.202.34.111 3 ; India (IN)
117.6.209.45 3 ; Vietnam (VN)
117.192.221.94 2 ; India (IN)
117.196.150.228 3 ; India (IN)
117.197.98.6 1 ; India (IN)
117.197.103.89 2 ; India (IN)
117.200.120.8 2 ; India (IN)
117.206.187.240 2 ; India (IN)
117.206.190.40 3 ; India (IN)
117.207.48.68 2 ; India (IN)
117.217.112.199 3 ; India (IN)
117.217.132.132 3 ; India (IN)
117.220.153.136 2 ; India (IN)
117.222.68.125 2 ; India (IN)
117.223.117.142 3 ; India (IN)
117.242.204.189 2 ; India (IN)
118.71.185.84 3 ip-address-pool-xxx.fpt.vn; Vietnam (VN)
118.137.210.68 3 fm-dyn-118-137-210-68.fast.net.id; Indonesia (ID)
119.59.122.239 2 ; Thailand (TH)
120.60.134.142 3 triband-mum-120.60.134.142.mtnl.net.in; India (IN)
120.72.88.221 3 ; India (IN)
120.206.3.2 2 ; China (CN)
122.160.41.49 3 abts-north-static-049.41.160.122.airtelbroadband.in; India (IN)
122.161.169.72 2 abts-north-dynamic-072.169.161.122.airtelbroadband.in; India (IN)
122.169.71.69 2 abts-mum-dynamic-069.71.169.122.airtelbroadband.in; India (IN)
122.176.9.144 2 abts-north-static-144.9.176.122.airtelbroadband.in; India (IN)
123.20.208.52 3 ; Vietnam (VN)
123.23.107.243 2 ; Vietnam (VN)
123.23.119.68 3 ; Vietnam (VN)
123.26.33.67 3 EUROPA.JUFCORP.COM; Vietnam (VN)
124.248.189.95 3 fiber-189-95.online.com.kh; Cambodia (KH)
139.228.227.58 3 fm-dyn-139-228-227-58.fast.net.id; Indonesia (ID)
151.233.102.88 3 ; Iran, Islamic Republic of (IR)
159.224.41.1 3 1.41.224.159.triolan.net; Ukraine (UA)
171.224.128.102 3 ; Vietnam (VN)
171.224.192.59 3 ; Vietnam (VN)
171.249.123.136 2 ; Vietnam (VN)
178.90.76.90 3 178.90.76.90.megaline.telecom.kz; Kazakhstan (KZ)
178.91.64.52 3 178.91.64.52.megaline.telecom.kz; Kazakhstan (KZ)
178.91.90.125 3 178.91.90.125.megaline.telecom.kz; Kazakhstan (KZ)
178.122.98.193 2 mm-193-98-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
178.122.120.116 1 mm-116-120-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
179.24.79.20 3 r179-24-79-20.dialup.adsl.anteldata.net.uy; Uruguay (UY)
182.56.2.58 3 static-mum-182.56.2.58.mtnl.net.in; India (IN)
182.56.164.66 2 static-mum-182.56.164.66.mtnl.net.in; India (IN)
182.56.207.163 2 static-mum-182.56.207.163.mtnl.net.in; India (IN)
182.68.19.114 1 abts-north-dynamic-114.19.68.182.airtelbroadband.in; India (IN)
185.23.124.43 3 ; Saudi Arabia (SA)
188.121.117.89 3 ; Iran, Islamic Republic of (IR)
190.81.45.19 3 ; Peru (PE)
190.187.12.84 3 ; Peru (PE)
190.239.96.110 3 ; Peru (PE)
191.101.31.118 1 ; Chile (CL)
193.110.72.211 3 ; Ukraine (UA)
193.238.128.178 4 193.238.128.178.sta.211.ru; Russian Federation (RU)
194.158.210.210 3 ; Belarus (BY)
197.200.18.195 2 ; Algeria (DZ)
202.63.116.173 3 173-116-63-202.southernonline.net; India (IN)
203.189.159.71 3 ; Cambodia (KH)
211.99.28.17 2 ; China (CN)
212.34.12.182 3 ; Jordan (JO)
212.164.234.254 2 b-internet.212.164.234.254.nsk.rt.ru; Russian Federation (RU)
213.55.109.85 2 ; Ethiopia (ET)
213.55.115.35 4 ; Ethiopia (ET)
213.110.98.167 3 ; Ukraine (UA)
213.230.77.71 3 71.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.48 2 48.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.223 3 223.64.uzpak.uz; Uzbekistan (UZ)
213.230.83.74 1 74.64.uzpak.uz; Uzbekistan (UZ)
217.12.116.218 3 static.217.12.116.218.tmg.md; Moldova, Republic of (MD)
217.146.251.100 3 207302.user.farlep.net; Ukraine (UA)
220.231.122.253 3 ; Vietnam (VN)
222.74.81.42 2 42.81.74.222.broad.wh.nm.dynamic.163data.com.cn; China (CN)
222.252.223.2 3 ; Vietnam (VN)

Hourly breakdown (blocks per hour)
00 x4
01
02 x2
03 x1
04 x2
05 x1
06
07 x1
08 x69
09 x64
10 x13
11 x252

12 x4
13 x1
14 x2
15
16 x2
17 x3
18
19
20 x2
21 x4
22
23

Generated 2015-05-13 00:04:01 for machine europa.jufcorp.com by Syspeace v2.5.2.0

För mer information om hur du kan skydda era servrar från ordboksattacker , kontakta mig här

NDR (Non Delivery Reports) på Microsoft Exchange 2010 för mail jag inte skickat

Många NDR (Non Delivery Reports) på Microsoft Exchange 2010 för mail jag inte skickat

backup disaster recovey  kontinuitetsplaner exchange server 2010 IT säkerhet molntjänster syspeace

Nyligen råkade jag ut för att det helt plötsligt började dyka upp väldigt många mail i min brevlåda som sade att min mail jag skickat inte gick fram trots att jag inte skickat dem. Jag testade de vanliga kontrollerna men min server var inte öppen för relay som är standard i Exchnage 2010.
Nackdelen med de här testerna är att de anger en användare som t.ex. anonymous@någondomän.se som avsändare och den typen av relay är mycket riktigt inte är tillåtet som standard.

Min första tanke var att det är någon som spoofat min domän dvs man använder min mailadress som avsaändare men t.ex. från adressen är någon annans namn som “Walter Banker” vilket i praktiken leder till att när ett mail inte kan levereras så skickas svaret tillbaka till min mailadress som är standard och då får man “Olevererbart” från “Mail delivery systems” o.s.v.

Det hrä är väldigt lätt att göra och svårt att skydda sig mot tyvärr. Allt so behövs är en telnet klient.

Ett par tre mail sådär är inte hela världen men jag märkte att det började bli hundratals inom loppet av några dagar så något stod inte rätt till och den här tyepn av probem kan i förlängningen orska att mailserven blir svartlistad ute i världen så den helt enkelt knappt går att använda. Problemet måste alltså lösas.

Felsökning i SMTP logg

EFter jag tittade närmare i loggarna på serven så märkte jag att det var mailservrar som anslöt sig till mig, autentiserade sig som min användare satt till avsändare så servern i sig tyckte det var ok .
Här nedan är ett exempel på hur det såg ut i loggen för SMTP ( C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive)

2015-03-02T00:02:08.633Z,EUROPA\Default EUROPA,08D21EB6E51D0300,0,192.168.0.6:25,122.100.78.143:55545,+,,
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,1,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2015-03-02T00:02:08.648Z,EUROPA\Default EUROPA,08D21EB6E51D0300,2,192.168.0.6:25,122.100.78.143:55545,>,”220 EUROPA.jufcorp.com Microsoft ESMTP MAIL Service ready at Mon, 2 Mar 2015 01:02:08 +0100″,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,3,192.168.0.6:25,122.100.78.143:55545,< ,EHLO kadegy, 2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,4,192.168.0.6:25,122.100.78.143:55545,>,250-EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,5,192.168.0.6:25,122.100.78.143:55545,>,250-SIZE,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,6,192.168.0.6:25,122.100.78.143:55545,>,250-PIPELINING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,7,192.168.0.6:25,122.100.78.143:55545,>,250-DSN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,8,192.168.0.6:25,122.100.78.143:55545,>,250-ENHANCEDSTATUSCODES,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,9,192.168.0.6:25,122.100.78.143:55545,>,250-STARTTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,10,192.168.0.6:25,122.100.78.143:55545,>,250-X-ANONYMOUSTLS,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,11,192.168.0.6:25,122.100.78.143:55545,>,250-AUTH NTLM LOGIN,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,12,192.168.0.6:25,122.100.78.143:55545,>,250-X-EXPS GSSAPI NTLM,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,13,192.168.0.6:25,122.100.78.143:55545,>,250-8BITMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,14,192.168.0.6:25,122.100.78.143:55545,>,250-BINARYMIME,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,15,192.168.0.6:25,122.100.78.143:55545,>,250-CHUNKING,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,16,192.168.0.6:25,122.100.78.143:55545,>,250-XEXCH50,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,17,192.168.0.6:25,122.100.78.143:55545,>,250-XRDST,
2015-03-02T00:02:09.288Z,EUROPA\Default EUROPA,08D21EB6E51D0300,18,192.168.0.6:25,122.100.78.143:55545,>,250 XSHADOW,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,19,192.168.0.6:25,122.100.78.143:55545,< ,STARTTLS, 2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,20,192.168.0.6:25,122.100.78.143:55545,>,220 2.0.0 SMTP server ready,
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,21,192.168.0.6:25,122.100.78.143:55545,*,,Sending certificate
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,22,192.168.0.6:25,122.100.78.143:55545,*,”CN=*.jufcorp.com, OU=HQ, O=JufCorp AB, L=Tumba, S=Tumba, C=SE”,Certificate subject
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,23,192.168.0.6:25,122.100.78.143:55545,*,”CN=GeoTrust SSL CA – G3, O=GeoTrust Inc., C=US”,Certificate issuer name
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,24,192.168.0.6:25,122.100.78.143:55545,*,036A6FA9E022316DD7080442BC6838F5,Certificate serial number
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,25,192.168.0.6:25,122.100.78.143:55545,*,17E89A5FD1E5596B40D260CF3319A7C0D28B7C33,Certificate thumbprint
2015-03-02T00:02:09.912Z,EUROPA\Default EUROPA,08D21EB6E51D0300,26,192.168.0.6:25,122.100.78.143:55545,*,*.jufcorp.com;jufcorp.com,Certificate alternate names
2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,27,192.168.0.6:25,122.100.78.143:55545,< ,HELO kadegy, 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,28,192.168.0.6:25,122.100.78.143:55545,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate' 2015-03-02T00:02:12.392Z,EUROPA\Default EUROPA,08D21EB6E51D0300,29,192.168.0.6:25,122.100.78.143:55545,>,250 EUROPA.jufcorp.com Hello [122.100.78.143],
2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,30,192.168.0.6:25,122.100.78.143:55545,< ,AUTH LOGIN, 2015-03-02T00:02:13.640Z,EUROPA\Default EUROPA,08D21EB6E51D0300,31,192.168.0.6:25,122.100.78.143:55545,>,334 ,
2015-03-02T00:02:14.842Z,EUROPA\Default EUROPA,08D21EB6E51D0300,32,192.168.0.6:25,122.100.78.143:55545,>,334
,
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,33,192.168.0.6:25,122.100.78.143:55545,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow SMTPAcceptXShadow,Set Session Permissions
2015-03-02T00:02:16.090Z,EUROPA\Default EUROPA,08D21EB6E51D0300,34,192.168.0.6:25,122.100.78.143:55545,*,JUFCORP\juha.jurvanen,authenticated
2015-03-02T00:02:16.105Z,EUROPA\Default EUROPA,08D21EB6E51D0300,35,192.168.0.6:25,122.100.78.143:55545,>,235 2.7.0 Authentication successful,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,36,192.168.0.6:25,122.100.78.143:55545,< ,MAIL FROM: ,
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,37,192.168.0.6:25,122.100.78.143:55545,*,08D21EB6E51D0300;2015-03-02T00:02:08.633Z;1,receiving message
2015-03-02T00:02:17.338Z,EUROPA\Default EUROPA,08D21EB6E51D0300,38,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.0 Sender OK,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,39,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:18.258Z,EUROPA\Default EUROPA,08D21EB6E51D0300,40,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,41,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:19.584Z,EUROPA\Default EUROPA,08D21EB6E51D0300,42,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,43,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:20.364Z,EUROPA\Default EUROPA,08D21EB6E51D0300,44,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,45,192.168.0.6:25,122.100.78.143:55545,< ,RCPT TO: ,
2015-03-02T00:02:21.238Z,EUROPA\Default EUROPA,08D21EB6E51D0300,46,192.168.0.6:25,122.100.78.143:55545,>,250 2.1.5 Recipient OK,
2015-03-02T00:02:21.534Z,EUROPA\Default EUROPA,08D21EB6E51D0301,0,192.168.0.6:25,81.246.126.146:29327,+,,

Att slå av relay för autentiserade användare i Microsoft Exchange 2010

Eftersom servern tyckte att min användare är en giltig användare så tycker den också att jag som användare har rättigheter att skicka mail men utan att ange ett lösenord dvs i praktiken är servern öppen för relay bara man angivit ett användarnamn som finns i domänen. Självklart är det inte svårt för en hacker elelr spammer att lista ut en sån sak och min mailadress finns på många forum o.s.v. så det är inte svåert att hitta mig.

För att lösa problemet slog jag av rättigheten att vilken användare som helst ska tillåtas att skicka ut mail om den finns och det gjorde jag med följande kommande:

Get-ReceiveConnector “Default Europa” | Remove-ADPermission -user “NT AUTHORITY\Authenticated users” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

EFter ändringen måste Microsoft Transport tjänsten startas om.

Kontakta mig för frågor