none
Рассылается спам внутри компании между пользователями RRS feed

  • 问题

  • Здравствуйте! Сегодня с 18 вечера пользователям стали приходить с некоторой периодичностью друг от друга письма ( на деле в отправленных у этих пользователей таких писем нет). Содержание писем - ответ на переписку + произвольный текст + архив с dll вирусом. 

    Exchange 2016 CU8 ( давно не обновлялся). Подскажите, в какую сторону копать вообще? Это что-то на самом сервере Exchange ? По факту все письма судя по заголовкам отправляются с сервера exchange. 
    Один ящик может отправить 4-5 писем с периодичностью час. Но только внутри компании. Наружу не лезет. 

    2022年6月14日 20:06

全部回复

  • Возможно, это:

    https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/


    This posting is provided "AS IS" with no warranties, and confers no rights.

    2022年6月15日 3:03
  • Не похоже. Проверял скриптом - написано, что не скомпрометировано. Логи чистые, ничего такого нет. Знаю, что надо обновить экч, но сначала нужно закрыть дыру, ибо обновляться вообще не быстро + бекапы надо сделать. Уйдет на это минимум дней 5. И очень плохо, что все это время будет рассылаться спам

    2022年6月15日 7:32
  • Скорей всего это банальная анонимная отправка. Стоит посмотреть заголовок письма, чтоб убедиться в этом. 
    2022年6月15日 8:16
  • Нет, все заголовки на месте. Сравнил с нормальным письмом - один в один, только поля Subject:, Thread-Topic чуть больше абракадабры содержат
    2022年6月15日 8:46
  • Нет, все заголовки на месте. Сравнил с нормальным письмом - один в один, только поля Subject:, Thread-Topic чуть больше абракадабры содержат

    Здравствуйте.

    Смотрели клиентские пк, заразы нет?


    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. IT Earth | Блог IT Инженера, YouTube, GitHub

    2022年6月15日 8:53
    版主
  • Нет, все заголовки на месте. Сравнил с нормальным письмом - один в один, только поля Subject:, Thread-Topic чуть больше абракадабры содержат
    Покажите заголовок.
    2022年6月15日 8:59
  • Клиентские компы смотрел - все чисто. Да и мне на мою почту пришло подобное письмо вообще от служебного моего второго ящика. Письма приходят только от тех пользователей, с которыми когда-то была переписка. И приходят как ответы RE в которых есть текст вирусного сообщения и текст предыдущего сообщения. Т.е. реальный ответ происходит


    Received: from mail.mydomain.ru (192.168.1.5) by mail.mydomain.ru
     (192.168.1.5) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1415.2 via Mailbox
     Transport; Tue, 14 Jun 2022 19:10:50 +0300
    Received: from mail.mydomain.ru (192.168.1.5) by mail.mydomain.ru
     (192.168.1.5) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1415.2; Tue, 14
     Jun 2022 19:10:50 +0300
    Received: from mail.mydomain.ru ([::1]) by mail.mydomain.ru ([::1])
     with mapi id 15.01.1415.010; Tue, 14 Jun 2022 19:10:44 +0300
    Content-Type: application/ms-tnef; name="winmail.dat"
    Content-Transfer-Encoding: binary
    From: =?koi8-r?B?7MXCxcTF1yDhzMXL08XKIO7Jy8/MwcXXyd4=?=
    <a.user1@mydomain.ru>
    To: =?koi8-r?B?7MnTycXOy8/XIO7Jy8/Mwcog88XSx8XF18ne?=
    <l.user2@mydomain.ru>
    Subject: =?koi8-r?B?UkU6IFJFOiDUxdPU?=
    Thread-Topic: =?koi8-r?B?UkU6INTF09Q=?=
    Thread-Index: AQHYgAlMAEQsulHYsEerLfZ7+YyaCw==
    Date: Tue, 14 Jun 2022 19:10:44 +0300
    Message-ID: <dd7cf09dbb1f4e809bf36a7867a79992@mydomain.ru>
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach: yes
    X-MS-Exchange-Organization-SCL: -1
    X-MS-TNEF-Correlator: <dd7cf09dbb1f4e809bf36a7867a79992@mydomain.ru>
    MIME-Version: 1.0
    X-MS-Exchange-Organization-MessageDirectionality: Originating
    X-MS-Exchange-Organization-AuthSource: mail.mydomain.ru
    X-MS-Exchange-Organization-AuthAs: Internal
    X-MS-Exchange-Organization-AuthMechanism: 04
    X-Originating-IP: [192.168.1.1]
    X-MS-Exchange-Organization-Network-Message-Id: 0b3be758-2698-44d4-1f26-08da4e206f75
    Return-Path: a.user1@mydomain.ru
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-MS-Exchange-Transport-EndToEndLatency: 00:00:06.3125529
    X-MS-Exchange-Processed-By-BccFoldering: 15.01.1415.010
    2022年6月15日 9:16