blocco che modifica gli indirizzi IP sulla porta 25 SMTP

0

Attualmente viene eseguito uno script contro il mio server di Exchange che tenta di accedere alle risorse sulla porta 25 SMTP. Questo sta generando l'evento 4776 nei registri eventi di Windows. Come posso fermarlo? Dovrei bloccare questo al firewall o al server di scambio? Bloccare l'entrata o l'uscita sulla porta 25 (non voglio che gli utenti perda la loro capacità di posta elettronica)? Cosa succede se blocco un indirizzo IP specifico e continua a cambiare? In che modo esattamente blocco questi tentativi e prevengo che ciò accada in futuro? A partire da ora, lo script eseguito sulla porta 25 potrebbe contenere alcuni nomi utente validi mentre vengono visualizzati nei registri eventi, il che impedisce ad alcuni utenti di accedere. Nota: i servizi blackberry sono in esecuzione anche sul server di Exchange.

    
posta user6255 04.04.2012 - 22:20
fonte

1 risposta

2

Prova a bloccare l'IP a livello di firewall, usa DROP non REJECT. Monitora, se lo fa di nuovo, aggiungi anche quell'IP.

Probabilmente stanno cercando un relay aperto o un modo per usare il tuo server di posta come relay per lo spam. Non fatevi prendere dal panico perché queste scansioni sono abbastanza comuni. Puoi provare a cercare soluzioni IDS per bloccare automaticamente questo comportamento se ti infastidisce troppo.

Se non è un tentativo di IP con spoofing, allora è probabilmente un DDoS e dovrai contattare il tuo ISP. (Se vogliono entrare nel tuo sistema useranno IP reali dal momento che vogliono una risposta)

    
risposta data 04.04.2012 - 22:25
fonte

Leggi altre domande sui tag