Récemment, j'ai commencé à recevoir des rapports de retour de spam AOL de notre serveur d'échange. En enquêtant, j'ai découvert que des centaines de messages de spam étaient relayés par notre serveur d'échange. Mais j'ai du mal à comprendre pourquoi.
Le journal de suivi montre les événements SMTP de réception et d'envoi pour chaque message de spam provenant d'une adresse IP qui renvoie à Washington DC.
Il semble qu'ils frappent notre serveur entre 2h et 4h du matin une nuit sur deux. Ils touchent également des domaines différents chaque nuit.
Le spam est une image tirée d'un site russe. L'adresse de l'expéditeur et celle du destinataire sont identiques, ce qui incite l'utilisateur à ouvrir le message.
J'ai vérifié la configuration de nos connecteurs de réception et de nos connecteurs d'envoi et tout semble être configuré correctement. J'ai effectué une vérification de relais ouvert à partir de MXtools et tout est passé. J'ai utilisé un outil smtp pour tenter de relayer un message et je n'ai pas pu, à moins de m'authentifier. En tant qu'utilisateur authentifié, j'ai pu relayer un message d'une adresse externe vers une adresse externe.
Ce qui me pousse à croire que le spammeur se connecte via une session smtp d'un utilisateur authentifié. Cependant, je n'ai absolument aucune idée de la façon de consulter les journaux d'Exchange pour voir sous quel utilisateur il s'est authentifié, ou même comment il a pu relayer le message via Exchange.
Quelqu'un peut-il m'éclairer à ce sujet ?
