Mi red Emite Spam

Fíjate en lugar de realizar la consulta en la fecha actual en la fecha que
haz tenido inconvenientes a ver si aparece algo.

Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:u$

Hola de nuevo.

He iniciado una consulta en el Isa, con Puerto Destino%, Red de
Origen=Interna e.. IPCLIENTE diferente a 192.168.0.18 (que es mi
Exchange)...

Por el momento, la consulta no devuelve nada y la cola SMTP de mi
exchange se mantiene en un mas que respetable 14 á 16 elementos

¿podrían darme pistas a cerca de la opción logging?

Thx...



"Gustavo Cáceres" escribió en el mensaje
news:

Gracias Darío... Voy a buscar info a cerca de la opción Logging, y voy a
tener en cuenta también , el Post que me envía Raul en el Grupo de
IsaServer, del cual hago un PASTE a continuación..



"El niño santo de Emaus" escribió en el mensaje
news:%

Hola Gustavo. A mi se me ocurren dos escenarios: El primero, que haya
alguna estación en tu red con servicio de correo instalado y haya sido
usado como relay desde Internet. En este caso usaría una herramienta de
escaneo de puertos (hay múltiples de ellas gratuitas: nmap, superscan..)
y buscaría puerto 25 abierto en tu rango de red. El segundo escenario es
que una estación esté infectada por un troyano y esté enviando spam
desde tu red. En este caso no vas a detectar un puerto 25 abierto pero
sí deberías detectar intentos de salida smtp hacia Internet. Para
detectar esto basta con que monitorices en ISA poniendo un filtro con
puerto destino 25 y red de origen tu red interno. Esto debería ahorrarte
trabajo de búsqueda.

Espero que sea de utilidad

// Raúl (MVP Forefront)

Check my blog at http://edgesecurity.blogspot.com

"Dario Ezequiel Moreno" escribió en el mensaje
news:

Desde ISA Server a través de Logging puedes ver si hay intentos de
conexión a través de SMTP.
De esta forma rápidamente puedes rastrear el o los equipos que te hay
generado inconvenientes.

Respecto a que ellos no sepan que no pueden instalar software no puedes,
les aparecerá un mensaje diciéndoles que no pueden :)
Lo mejor es tratar de controlar como lo haz hecho la entrada y salida y
limitar los accesos a los usuarios.


Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:

Hola de nuevo

Continúo en este foro, por si sirve de ayuda a más usuarios...

Tal y como te comenté en el foro de IsaServer.. ya solicité la baja, y
por el momento "parece" que todo va bien... ya que voy desapareciendo
poco a poco de las listas donde estaba listado
Antes de hacer la solicitud, http://cbl.abuseat.org/ me indicaba
claramente, que debía tratar de solucionar el problema antes de
solicitar que me removieran... y lo que hice, gracias a vuestros
consejos e indicaciones fue:

Instalé PandaInternet Security 2008 en cada máquinas (unos 28 Pc's),
permitiendo con su filtro firewall que sólo el outlook, se comunique
con entradas y salidas.
Eliminé Messenger, Barras Google para Explorer y Fierfox, Skype, y
demás Software no necesarios, de las Máquinas de los usuarios.
Instalé Panda Admin Secury en Servidores Isa2004, AD(Win2003) y
Exchange Server 2000 (BajoWin2003), con las herramientas de control de
SPAM y control de Servidores.
Afiné el filtrode Ficheros y SPAM en el Panda GateDefender que tengo
como control perimetral de la Red...
Pasé ActiveScan en Servidores con resultado "cero" de infecciones.
Deshabilité Escritorio Remoto en cada uno de los server, aunque esto
implique que cada vez que de he "meterles mano", tenga que desplazarme
a la "nevera" donde están...
Coloqué un filtro en el IsaServer2004, para que sólo desde la IP de mi
eschange Server, se pueda utilizar la salida del Puerto 25...

Y mañana comienzo a hacer el seguimiento individual de los PC's, para
indentificar cual de ellos pueda estar ahora mismo emitiendo spam..
aunque el Isa debería estar "anulando" dicha emisión con la regla antes
mencionada

Algo que no he hecho, pero que creo que podría ser una buena práctica,
es cambiar los permisos de los usuarios de cada PC. Es decir, que sean
simplemente USUARIOS y no Administradores de las mismas. ¿Puede esto
evitar que instalen software, o que software no permitido se instale
sin que ellos lo sepan?




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Gustavo:
Como te comente en el foro de ISA, tienes que limitar la regla de
"Todos los puertos para todos los usuarios". A pesar de limitar la
salida del puerto 25 como ya lo has hecho tienes que tratar de
controlar el trafico saliente de tu red.
Hiciste la solicitud de baja en el sitio donde confirmaste este
diagnostico?
Si quieres seguimos por aquí o por el otro foro.

Saludos
Darío.
"Osvaldo Luis Vila !!!" wrote in
message news:

Gustavo.

Cuantas maquinas tienes en tu red???

Que antivirus usas???

Tienes Messenger en las diferentes maquinas???

No soy experto en redes, ya te guiaran con mayor exactitud los
especialistas, pero es importante esta información basica.

Yo probaría ir pasando antivirus en línea, maquina por maquina y ir
aislándolas una vez limpia, pero es solo una sugerencia.

Por si te sirve, aquí tienes los mejores antivirus en línea:

ANTIVIRUS EN LÍNEA



http://es.trendmicro-europe.com/con...launch.php

http://housecall.antivirus.com/hous...t_corp.asp

http://www.bitdefender-es.com/index.php

http://www.kaspersky.com/remoteviruschk.html

http://www.kaspersky.com/virusscanner

http://security.norton.com/sscv6/de...;venid=sym

http://us.mcafee.com/root/speedometer.asp?cid”38

http://www.pandasoftware.es/activescan

http://www.eset.com.uy/online-scanner

http://www.nod32.com.uy/online-scanner

http://safety.live.com

http://www.ewido.net/en/onlinescan



SITIO COMPLETO SOBRE SEGURIDAD

http://alerta-antivirus.red.es/util...articulo=1







Saludos.






Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-


ATENCIÓN!!! EL VIRUS MAS DESTRUCTIVO ESTA ENTRE EL TECLADO Y LA
SILLA.


Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware 2007, Spybot Search 1.5.1, Spyware Blaster 4.0-
Antivirus el mejor Nod 32 (de pago) y Avg 7.5 Avast 4.7 gratuitos-
ZoneAlarm Versión 7.0.462.000
































"Gustavo Cáceres" escribió en el mensaje
news:%23%236xYz$

Hola a todos.
La verdad, es que estoy posteando en varios grupos porque no sé cómo
poder "frenar" la emisión de Spam desde mi red.

Me han colocado en listas como Emisor de Spam, y se me indica que
probablemente esté infectado por algun tipo de virus y pertenezca a
un BotNet.

Tengo mis server libre de virus, en mis máquinas clientes tengo
runando una solución antivirus, y sólo permito que mi IsaServer
envíe paquetes por el puerto 25, siempre y cuando dichos paquetes
dengan de la IP de mi Enxchange Server
Acabo de solicitar que me den de baja de la lista, pero...

¿Cómo puedo proteger mi red, para no ser utilizado?

Gracias de antemano por la ayuda que espero impaciente...

Saludos..
Gustavo Cáceres

Hol Darío
No sé si alegrarme... o no ..

Como os comenté, en los Outlooks de mi organización, usamos un exchange
propio pero, para poder hacer envío masivos de correos (el depatramento de
formación comunica cursos gratuitos por email y eso pueden significar 2000
correos al día.), tenía creada una cuenta de correos con el SMTP de nuestro
ISP.
Éste ISP, tiene 2 IP's para resolver su SMTP.
He creado la regla que me indicaste:

Puerto de Destino: 25
Red de Destino: Externa
Red de Origen: Interna
IP Cliente: Diferente de la de mi Exchange (192.168.0.18)
IP Destino: Diferente de las dos que mi ISP publica para su SMTP.

y
TACHAN!!.

Una Ip interna, repartía en las condiciones anteriores, a un número
indeterminado de IP Destino.
Una y sólo una de las máquinas de lam Red.. Incluso después de tener la
solución Panda instalada.
Menos mal, que el cierre del puerto 25 a todos excepto mi exchange, ha
bloqueado el envío...

Lo siguiente es Formatear el PC que lo estaba generando, tratar de que nos
quiten del resto de lista donde nos encontramos (porque aun nos vienen
bastantes correos devueltos por Reley denegado). y
me estoy planteando cambiar con nuestro ISP nuestra IP Publica, y modificar
nuestra DNS




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Fíjate en lugar de realizar la consulta en la fecha actual en la fecha que
haz tenido inconvenientes a ver si aparece algo.

Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:u$

Hola de nuevo.

He iniciado una consulta en el Isa, con Puerto Destino%, Red de
Origen=Interna e.. IPCLIENTE diferente a 192.168.0.18 (que es mi
Exchange)...

Por el momento, la consulta no devuelve nada y la cola SMTP de mi
exchange se mantiene en un mas que respetable 14 á 16 elementos

¿podrían darme pistas a cerca de la opción logging?

Thx...



"Gustavo Cáceres" escribió en el mensaje
news:

Gracias Darío... Voy a buscar info a cerca de la opción Logging, y voy a
tener en cuenta también , el Post que me envía Raul en el Grupo de
IsaServer, del cual hago un PASTE a continuación..



"El niño santo de Emaus" escribió en el mensaje
news:%

Hola Gustavo. A mi se me ocurren dos escenarios: El primero, que haya
alguna estación en tu red con servicio de correo instalado y haya sido
usado como relay desde Internet. En este caso usaría una herramienta de
escaneo de puertos (hay múltiples de ellas gratuitas: nmap,
superscan..) y buscaría puerto 25 abierto en tu rango de red. El
segundo escenario es que una estación esté infectada por un troyano y
esté enviando spam desde tu red. En este caso no vas a detectar un
puerto 25 abierto pero sí deberías detectar intentos de salida smtp
hacia Internet. Para detectar esto basta con que monitorices en ISA
poniendo un filtro con puerto destino 25 y red de origen tu red
interno. Esto debería ahorrarte trabajo de búsqueda.

Espero que sea de utilidad

// Raúl (MVP Forefront)

Check my blog at http://edgesecurity.blogspot.com

"Dario Ezequiel Moreno" escribió en el mensaje
news:

Desde ISA Server a través de Logging puedes ver si hay intentos de
conexión a través de SMTP.
De esta forma rápidamente puedes rastrear el o los equipos que te hay
generado inconvenientes.

Respecto a que ellos no sepan que no pueden instalar software no
puedes, les aparecerá un mensaje diciéndoles que no pueden :)
Lo mejor es tratar de controlar como lo haz hecho la entrada y salida y
limitar los accesos a los usuarios.


Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:

Hola de nuevo

Continúo en este foro, por si sirve de ayuda a más usuarios...

Tal y como te comenté en el foro de IsaServer.. ya solicité la baja, y
por el momento "parece" que todo va bien... ya que voy desapareciendo
poco a poco de las listas donde estaba listado
Antes de hacer la solicitud, http://cbl.abuseat.org/ me indicaba
claramente, que debía tratar de solucionar el problema antes de
solicitar que me removieran... y lo que hice, gracias a vuestros
consejos e indicaciones fue:

Instalé PandaInternet Security 2008 en cada máquinas (unos 28 Pc's),
permitiendo con su filtro firewall que sólo el outlook, se comunique
con entradas y salidas.
Eliminé Messenger, Barras Google para Explorer y Fierfox, Skype, y
demás Software no necesarios, de las Máquinas de los usuarios.
Instalé Panda Admin Secury en Servidores Isa2004, AD(Win2003) y
Exchange Server 2000 (BajoWin2003), con las herramientas de control de
SPAM y control de Servidores.
Afiné el filtrode Ficheros y SPAM en el Panda GateDefender que tengo
como control perimetral de la Red...
Pasé ActiveScan en Servidores con resultado "cero" de infecciones.
Deshabilité Escritorio Remoto en cada uno de los server, aunque esto
implique que cada vez que de he "meterles mano", tenga que desplazarme
a la "nevera" donde están...
Coloqué un filtro en el IsaServer2004, para que sólo desde la IP de mi
eschange Server, se pueda utilizar la salida del Puerto 25...

Y mañana comienzo a hacer el seguimiento individual de los PC's, para
indentificar cual de ellos pueda estar ahora mismo emitiendo spam..
aunque el Isa debería estar "anulando" dicha emisión con la regla
antes mencionada

Algo que no he hecho, pero que creo que podría ser una buena práctica,
es cambiar los permisos de los usuarios de cada PC. Es decir, que sean
simplemente USUARIOS y no Administradores de las mismas. ¿Puede esto
evitar que instalen software, o que software no permitido se instale
sin que ellos lo sepan?




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Gustavo:
Como te comente en el foro de ISA, tienes que limitar la regla de
"Todos los puertos para todos los usuarios". A pesar de limitar la
salida del puerto 25 como ya lo has hecho tienes que tratar de
controlar el trafico saliente de tu red.
Hiciste la solicitud de baja en el sitio donde confirmaste este
diagnostico?
Si quieres seguimos por aquí o por el otro foro.

Saludos
Darío.
"Osvaldo Luis Vila !!!" wrote in
message news:

Gustavo.

Cuantas maquinas tienes en tu red???

Que antivirus usas???

Tienes Messenger en las diferentes maquinas???

No soy experto en redes, ya te guiaran con mayor exactitud los
especialistas, pero es importante esta información basica.

Yo probaría ir pasando antivirus en línea, maquina por maquina y ir
aislándolas una vez limpia, pero es solo una sugerencia.

Por si te sirve, aquí tienes los mejores antivirus en línea:

ANTIVIRUS EN LÍNEA



http://es.trendmicro-europe.com/con...launch.php

http://housecall.antivirus.com/hous...t_corp.asp

http://www.bitdefender-es.com/index.php

http://www.kaspersky.com/remoteviruschk.html

http://www.kaspersky.com/virusscanner

http://security.norton.com/sscv6/de...;venid=sym

http://us.mcafee.com/root/speedometer.asp?cid”38

http://www.pandasoftware.es/activescan

http://www.eset.com.uy/online-scanner

http://www.nod32.com.uy/online-scanner

http://safety.live.com

http://www.ewido.net/en/onlinescan



SITIO COMPLETO SOBRE SEGURIDAD

http://alerta-antivirus.red.es/util...articulo=1







Saludos.






Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-


ATENCIÓN!!! EL VIRUS MAS DESTRUCTIVO ESTA ENTRE EL TECLADO Y LA
SILLA.


Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware 2007, Spybot Search 1.5.1, Spyware Blaster 4.0-
Antivirus el mejor Nod 32 (de pago) y Avg 7.5 Avast 4.7 gratuitos-
ZoneAlarm Versión 7.0.462.000
































"Gustavo Cáceres" escribió en el
mensaje news:%23%236xYz$

Hola a todos.
La verdad, es que estoy posteando en varios grupos porque no sé
cómo poder "frenar" la emisión de Spam desde mi red.

Me han colocado en listas como Emisor de Spam, y se me indica que
probablemente esté infectado por algun tipo de virus y pertenezca a
un BotNet.

Tengo mis server libre de virus, en mis máquinas clientes tengo
runando una solución antivirus, y sólo permito que mi IsaServer
envíe paquetes por el puerto 25, siempre y cuando dichos paquetes
dengan de la IP de mi Enxchange Server
Acabo de solicitar que me den de baja de la lista, pero...

¿Cómo puedo proteger mi red, para no ser utilizado?

Gracias de antemano por la ayuda que espero impaciente...

Saludos..
Gustavo Cáceres

En Exchange 2000/2003 se utiliza el servicio de SMTP propio de Windows con
algunos agregados de Exchange para el delivery del correo por lo cual solo
puedes acotar y aprovechar las ventajas o falencias de este servicio.
Lo que puedes controlar en el servicio de SMTP es que equipos pueden
utilizarlo y para esto en las propiedades del servicio tienes opciones de
acceso respecto a que IP pueden acceder al mismo.
Aquí solo deberías dejar la IP de tu Exchange.

A diferencia de esto en Exchange 2007 se monta su propio servicio de SMTP o
Hub Transport como realmente se conoce y este permite ser controlado con
mayores ventajas.

Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:

La consulta del Isa, devuelve que la IP de la máquina identificada, envia
a paquetes en el formato xxx.xxx.xxx.xxx :25
Si esto ocurriera en el Server donde tengo instalado el Exchange, ¿cómo
podría evitarlo?...
¿Hay alguna manera de decirle a Win2003, que el puerto 25 sólo sea
utilizado con el Exchange2000?

La idea de modificar la IP pública de mi dominio, es porque el DNS's de mi
dominio es mi ISA, y sólo tendría que modificar la nueva IP Pública que me
dé mi ISP, en ESNIC, y en el DNS de mi Isa... cosa que creo que me daría
una "nueva cara" frente a los controladores que ahora aun me bloquean.

Weno.. por partes
Primero daros la gracias porque no sabéis la alegría que me ha provocado
poder saber la máquina que genera el problema..
y luego las dos cuestiones dichas... ;)




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Fíjate en lugar de realizar la consulta en la fecha actual en la fecha
que haz tenido inconvenientes a ver si aparece algo.

Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:u$

Hola de nuevo.

He iniciado una consulta en el Isa, con Puerto Destino%, Red de
Origen=Interna e.. IPCLIENTE diferente a 192.168.0.18 (que es mi
Exchange)...

Por el momento, la consulta no devuelve nada y la cola SMTP de mi
exchange se mantiene en un mas que respetable 14 á 16 elementos

¿podrían darme pistas a cerca de la opción logging?

Thx...



"Gustavo Cáceres" escribió en el mensaje
news:

Gracias Darío... Voy a buscar info a cerca de la opción Logging, y voy
a tener en cuenta también , el Post que me envía Raul en el Grupo de
IsaServer, del cual hago un PASTE a continuación..



"El niño santo de Emaus" escribió en el mensaje
news:%

Hola Gustavo. A mi se me ocurren dos escenarios: El primero, que haya
alguna estación en tu red con servicio de correo instalado y haya sido
usado como relay desde Internet. En este caso usaría una herramienta
de escaneo de puertos (hay múltiples de ellas gratuitas: nmap,
superscan..) y buscaría puerto 25 abierto en tu rango de red. El
segundo escenario es que una estación esté infectada por un troyano y
esté enviando spam desde tu red. En este caso no vas a detectar un
puerto 25 abierto pero sí deberías detectar intentos de salida smtp
hacia Internet. Para detectar esto basta con que monitorices en ISA
poniendo un filtro con puerto destino 25 y red de origen tu red
interno. Esto debería ahorrarte trabajo de búsqueda.

Espero que sea de utilidad

// Raúl (MVP Forefront)

Check my blog at http://edgesecurity.blogspot.com

"Dario Ezequiel Moreno" escribió en el mensaje
news:

Desde ISA Server a través de Logging puedes ver si hay intentos de
conexión a través de SMTP.
De esta forma rápidamente puedes rastrear el o los equipos que te hay
generado inconvenientes.

Respecto a que ellos no sepan que no pueden instalar software no
puedes, les aparecerá un mensaje diciéndoles que no pueden :)
Lo mejor es tratar de controlar como lo haz hecho la entrada y salida
y limitar los accesos a los usuarios.


Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:

Hola de nuevo

Continúo en este foro, por si sirve de ayuda a más usuarios...

Tal y como te comenté en el foro de IsaServer.. ya solicité la baja,
y por el momento "parece" que todo va bien... ya que voy
desapareciendo poco a poco de las listas donde estaba listado
Antes de hacer la solicitud, http://cbl.abuseat.org/ me indicaba
claramente, que debía tratar de solucionar el problema antes de
solicitar que me removieran... y lo que hice, gracias a vuestros
consejos e indicaciones fue:

Instalé PandaInternet Security 2008 en cada máquinas (unos 28 Pc's),
permitiendo con su filtro firewall que sólo el outlook, se comunique
con entradas y salidas.
Eliminé Messenger, Barras Google para Explorer y Fierfox, Skype, y
demás Software no necesarios, de las Máquinas de los usuarios.
Instalé Panda Admin Secury en Servidores Isa2004, AD(Win2003) y
Exchange Server 2000 (BajoWin2003), con las herramientas de control
de SPAM y control de Servidores.
Afiné el filtrode Ficheros y SPAM en el Panda GateDefender que tengo
como control perimetral de la Red...
Pasé ActiveScan en Servidores con resultado "cero" de infecciones.
Deshabilité Escritorio Remoto en cada uno de los server, aunque esto
implique que cada vez que de he "meterles mano", tenga que
desplazarme a la "nevera" donde están...
Coloqué un filtro en el IsaServer2004, para que sólo desde la IP de
mi eschange Server, se pueda utilizar la salida del Puerto 25...

Y mañana comienzo a hacer el seguimiento individual de los PC's, para
indentificar cual de ellos pueda estar ahora mismo emitiendo spam..
aunque el Isa debería estar "anulando" dicha emisión con la regla
antes mencionada

Algo que no he hecho, pero que creo que podría ser una buena
práctica, es cambiar los permisos de los usuarios de cada PC. Es
decir, que sean simplemente USUARIOS y no Administradores de las
mismas. ¿Puede esto evitar que instalen software, o que software no
permitido se instale sin que ellos lo sepan?




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Gustavo:
Como te comente en el foro de ISA, tienes que limitar la regla de
"Todos los puertos para todos los usuarios". A pesar de limitar la
salida del puerto 25 como ya lo has hecho tienes que tratar de
controlar el trafico saliente de tu red.
Hiciste la solicitud de baja en el sitio donde confirmaste este
diagnostico?
Si quieres seguimos por aquí o por el otro foro.

Saludos
Darío.
"Osvaldo Luis Vila !!!" wrote in
message news:

Gustavo.

Cuantas maquinas tienes en tu red???

Que antivirus usas???

Tienes Messenger en las diferentes maquinas???

No soy experto en redes, ya te guiaran con mayor exactitud los
especialistas, pero es importante esta información basica.

Yo probaría ir pasando antivirus en línea, maquina por maquina y ir
aislándolas una vez limpia, pero es solo una sugerencia.

Por si te sirve, aquí tienes los mejores antivirus en línea:

ANTIVIRUS EN LÍNEA



http://es.trendmicro-europe.com/con...launch.php

http://housecall.antivirus.com/hous...t_corp.asp

http://www.bitdefender-es.com/index.php

http://www.kaspersky.com/remoteviruschk.html

http://www.kaspersky.com/virusscanner

http://security.norton.com/sscv6/de...;venid=sym

http://us.mcafee.com/root/speedometer.asp?cid”38

http://www.pandasoftware.es/activescan

http://www.eset.com.uy/online-scanner

http://www.nod32.com.uy/online-scanner

http://safety.live.com

http://www.ewido.net/en/onlinescan



SITIO COMPLETO SOBRE SEGURIDAD

http://alerta-antivirus.red.es/util...articulo=1







Saludos.






Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-


ATENCIÓN!!! EL VIRUS MAS DESTRUCTIVO ESTA ENTRE EL TECLADO Y LA
SILLA.


Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware 2007, Spybot Search 1.5.1, Spyware Blaster 4.0-
Antivirus el mejor Nod 32 (de pago) y Avg 7.5 Avast 4.7 gratuitos-
ZoneAlarm Versión 7.0.462.000
































"Gustavo Cáceres" escribió en el
mensaje news:%23%236xYz$

Hola a todos.
La verdad, es que estoy posteando en varios grupos porque no sé
cómo poder "frenar" la emisión de Spam desde mi red.

Me han colocado en listas como Emisor de Spam, y se me indica que
probablemente esté infectado por algun tipo de virus y pertenezca
a un BotNet.

Tengo mis server libre de virus, en mis máquinas clientes tengo
runando una solución antivirus, y sólo permito que mi IsaServer
envíe paquetes por el puerto 25, siempre y cuando dichos paquetes
dengan de la IP de mi Enxchange Server
Acabo de solicitar que me den de baja de la lista, pero...

¿Cómo puedo proteger mi red, para no ser utilizado?

Gracias de antemano por la ayuda que espero impaciente...

Saludos..
Gustavo Cáceres

Hola de nuevo

Continúo en este foro, por si sirve de ayuda a más usuarios...

Tal y como te comenté en el foro de IsaServer.. ya solicité la baja, y por
el momento "parece" que todo va bien... ya que voy desapareciendo poco a
poco de las listas donde estaba listado
Antes de hacer la solicitud, http://cbl.abuseat.org/ me indicaba claramente,
que debía tratar de solucionar el problema antes de solicitar que me
removieran... y lo que hice, gracias a vuestros consejos e indicaciones fue:

Instalé PandaInternet Security 2008 en cada máquinas (unos 28 Pc's),
permitiendo con su filtro firewall que sólo el outlook, se comunique con
entradas y salidas.
Eliminé Messenger, Barras Google para Explorer y Fierfox, Skype, y demás
Software no necesarios, de las Máquinas de los usuarios.
Instalé Panda Admin Secury en Servidores Isa2004, AD(Win2003) y Exchange
Server 2000 (BajoWin2003), con las herramientas de control de SPAM y control
de Servidores.
Afiné el filtrode Ficheros y SPAM en el Panda GateDefender que tengo como
control perimetral de la Red...
Pasé ActiveScan en Servidores con resultado "cero" de infecciones.
Deshabilité Escritorio Remoto en cada uno de los server, aunque esto
implique que cada vez que de he "meterles mano", tenga que desplazarme a la
"nevera" donde están...
Coloqué un filtro en el IsaServer2004, para que sólo desde la IP de mi
eschange Server, se pueda utilizar la salida del Puerto 25...

Y mañana comienzo a hacer el seguimiento individual de los PC's, para
indentificar cual de ellos pueda estar ahora mismo emitiendo spam.. aunque
el Isa debería estar "anulando" dicha emisión con la regla antes
mencionada

Algo que no he hecho, pero que creo que podría ser una buena práctica, es
cambiar los permisos de los usuarios de cada PC. Es decir, que sean
simplemente USUARIOS y no Administradores de las mismas. ¿Puede esto evitar
que instalen software, o que software no permitido se instale sin que ellos
lo sepan?




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Gustavo:
Como te comente en el foro de ISA, tienes que limitar la regla de "Todos
los puertos para todos los usuarios". A pesar de limitar la salida del
puerto 25 como ya lo has hecho tienes que tratar de controlar el trafico
saliente de tu red.
Hiciste la solicitud de baja en el sitio donde confirmaste este
diagnostico?
Si quieres seguimos por aquí o por el otro foro.

Saludos
Darío.
"Osvaldo Luis Vila !!!" wrote in message
news:

Gustavo.

Cuantas maquinas tienes en tu red???

Que antivirus usas???

Tienes Messenger en las diferentes maquinas???

No soy experto en redes, ya te guiaran con mayor exactitud los
especialistas, pero es importante esta información basica.

Yo probaría ir pasando antivirus en línea, maquina por maquina y ir
aislándolas una vez limpia, pero es solo una sugerencia.

Por si te sirve, aquí tienes los mejores antivirus en línea:

ANTIVIRUS EN LÍNEA



http://es.trendmicro-europe.com/con...launch.php

http://housecall.antivirus.com/hous...t_corp.asp

http://www.bitdefender-es.com/index.php

http://www.kaspersky.com/remoteviruschk.html

http://www.kaspersky.com/virusscanner

http://security.norton.com/sscv6/de...;venid=sym

http://us.mcafee.com/root/speedometer.asp?cid”38

http://www.pandasoftware.es/activescan

http://www.eset.com.uy/online-scanner

http://www.nod32.com.uy/online-scanner

http://safety.live.com

http://www.ewido.net/en/onlinescan



SITIO COMPLETO SOBRE SEGURIDAD

http://alerta-antivirus.red.es/util...articulo=1







Saludos.






Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-


ATENCIÓN!!! EL VIRUS MAS DESTRUCTIVO ESTA ENTRE EL TECLADO Y LA SILLA.


Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware 2007, Spybot Search 1.5.1, Spyware Blaster 4.0-
Antivirus el mejor Nod 32 (de pago) y Avg 7.5 Avast 4.7 gratuitos-
ZoneAlarm Versión 7.0.462.000
































"Gustavo Cáceres" escribió en el mensaje
news:%23%236xYz$

Hola a todos.
La verdad, es que estoy posteando en varios grupos porque no sé cómo
poder "frenar" la emisión de Spam desde mi red.

Me han colocado en listas como Emisor de Spam, y se me indica que
probablemente esté infectado por algun tipo de virus y pertenezca a un
BotNet.

Tengo mis server libre de virus, en mis máquinas clientes tengo runando
una solución antivirus, y sólo permito que mi IsaServer envíe paquetes
por el puerto 25, siempre y cuando dichos paquetes dengan de la IP de mi
Enxchange Server
Acabo de solicitar que me den de baja de la lista, pero...

¿Cómo puedo proteger mi red, para no ser utilizado?

Gracias de antemano por la ayuda que espero impaciente...

Saludos..
Gustavo Cáceres

Bien... parece que puede ser buena idea, el pensarse migrar el exchange
Algo que se me ha ocurrido, es la posibilidad de modificar en el conectopr
del Exchange, el puerto de salida...
¿Esto sería posible?
Es decir,... indicarle al Exchange que el SMTP, salga por otra puerto
diferente al 25.
Así ciero a todas las máquinas el puetro 25, y mi exchange lo sacaría por
otro puerto diferente...
Sería factible?





"Dario Ezequiel Moreno" escribió en el mensaje
news:

En Exchange 2000/2003 se utiliza el servicio de SMTP propio de Windows con
algunos agregados de Exchange para el delivery del correo por lo cual solo
puedes acotar y aprovechar las ventajas o falencias de este servicio.
Lo que puedes controlar en el servicio de SMTP es que equipos pueden
utilizarlo y para esto en las propiedades del servicio tienes opciones de
acceso respecto a que IP pueden acceder al mismo.
Aquí solo deberías dejar la IP de tu Exchange.

A diferencia de esto en Exchange 2007 se monta su propio servicio de SMTP
o Hub Transport como realmente se conoce y este permite ser controlado con
mayores ventajas.

Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:

La consulta del Isa, devuelve que la IP de la máquina identificada, envia
a paquetes en el formato xxx.xxx.xxx.xxx :25
Si esto ocurriera en el Server donde tengo instalado el Exchange, ¿cómo
podría evitarlo?...
¿Hay alguna manera de decirle a Win2003, que el puerto 25 sólo sea
utilizado con el Exchange2000?

La idea de modificar la IP pública de mi dominio, es porque el DNS's de
mi dominio es mi ISA, y sólo tendría que modificar la nueva IP Pública
que me dé mi ISP, en ESNIC, y en el DNS de mi Isa... cosa que creo que me
daría una "nueva cara" frente a los controladores que ahora aun me
bloquean.

Weno.. por partes
Primero daros la gracias porque no sabéis la alegría que me ha provocado
poder saber la máquina que genera el problema..
y luego las dos cuestiones dichas... ;)




"Dario Ezequiel Moreno" escribió en el mensaje
news:

Fíjate en lugar de realizar la consulta en la fecha actual en la fecha
que haz tenido inconvenientes a ver si aparece algo.

Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:u$

Hola de nuevo.

He iniciado una consulta en el Isa, con Puerto Destino%, Red de
Origen=Interna e.. IPCLIENTE diferente a 192.168.0.18 (que es mi
Exchange)...

Por el momento, la consulta no devuelve nada y la cola SMTP de mi
exchange se mantiene en un mas que respetable 14 á 16 elementos

¿podrían darme pistas a cerca de la opción logging?

Thx...



"Gustavo Cáceres" escribió en el mensaje
news:

Gracias Darío... Voy a buscar info a cerca de la opción Logging, y voy
a tener en cuenta también , el Post que me envía Raul en el Grupo de
IsaServer, del cual hago un PASTE a continuación..



"El niño santo de Emaus" escribió en el mensaje
news:%

Hola Gustavo. A mi se me ocurren dos escenarios: El primero, que haya
alguna estación en tu red con servicio de correo instalado y haya
sido usado como relay desde Internet. En este caso usaría una
herramienta de escaneo de puertos (hay múltiples de ellas gratuitas:
nmap, superscan..) y buscaría puerto 25 abierto en tu rango de red.
El segundo escenario es que una estación esté infectada por un
troyano y esté enviando spam desde tu red. En este caso no vas a
detectar un puerto 25 abierto pero sí deberías detectar intentos de
salida smtp hacia Internet. Para detectar esto basta con que
monitorices en ISA poniendo un filtro con puerto destino 25 y red de
origen tu red interno. Esto debería ahorrarte trabajo de búsqueda.

Espero que sea de utilidad

// Raúl (MVP Forefront)

Check my blog at http://edgesecurity.blogspot.com

"Dario Ezequiel Moreno" escribió en el mensaje
news:

Desde ISA Server a través de Logging puedes ver si hay intentos de
conexión a través de SMTP.
De esta forma rápidamente puedes rastrear el o los equipos que te hay
generado inconvenientes.

Respecto a que ellos no sepan que no pueden instalar software no
puedes, les aparecerá un mensaje diciéndoles que no pueden :)
Lo mejor es tratar de controlar como lo haz hecho la entrada y salida
y limitar los accesos a los usuarios.


Saludos
Darío.
"Gustavo Cáceres" wrote in message
news:

Hola de nuevo

Continúo en este foro, por si sirve de ayuda a más usuarios...

Tal y como te comenté en el foro de IsaServer.. ya solicité la baja,
y por el momento "parece" que todo va bien... ya que voy
desapareciendo poco a poco de las listas donde estaba listado
Antes de hacer la solicitud, http://cbl.abuseat.org/ me indicaba
claramente, que debía tratar de solucionar el problema antes de
solicitar que me removieran... y lo que hice, gracias a vuestros
consejos e indicaciones fue:

Instalé PandaInternet Security 2008 en cada máquinas (unos 28 Pc's),
permitiendo con su filtro firewall que sólo el outlook, se comunique
con entradas y salidas.
Eliminé Messenger, Barras Google para Explorer y Fierfox, Skype, y
demás Software no necesarios, de las Máquinas de los usuarios.
Instalé Panda Admin Secury en Servidores Isa2004, AD(Win2003) y
Exchange Server 2000 (BajoWin2003), con las herramientas de control
de SPAM y control de Servidores.
Afiné el filtrode Ficheros y SPAM en el Panda GateDefender que tengo
como control perimetral de la Red...
Pasé ActiveScan en Servidores con resultado "cero" de infecciones.
Deshabilité Escritorio Remoto en cada uno de los server, aunque esto
implique que cada vez que de he "meterles mano", tenga que
desplazarme a la "nevera" donde están...
Coloqué un filtro en el IsaServer2004, para que sólo desde la IP de
mi eschange Server, se pueda utilizar la salida del Puerto 25...

Y mañana comienzo a hacer el seguimiento individual de los PC's,
para indentificar cual de ellos pueda estar ahora mismo emitiendo
spam.. aunque el Isa debería estar "anulando" dicha emisión con la
regla antes mencionada

Algo que no he hecho, pero que creo que podría ser una buena
práctica, es cambiar los permisos de los usuarios de cada PC. Es
decir, que sean simplemente USUARIOS y no Administradores de las
mismas. ¿Puede esto evitar que instalen software, o que software no
permitido se instale sin que ellos lo sepan?




"Dario Ezequiel Moreno" escribió en el
mensaje news:

Gustavo:
Como te comente en el foro de ISA, tienes que limitar la regla de
"Todos los puertos para todos los usuarios". A pesar de limitar la
salida del puerto 25 como ya lo has hecho tienes que tratar de
controlar el trafico saliente de tu red.
Hiciste la solicitud de baja en el sitio donde confirmaste este
diagnostico?
Si quieres seguimos por aquí o por el otro foro.

Saludos
Darío.
"Osvaldo Luis Vila !!!" wrote in
message news:

Gustavo.

Cuantas maquinas tienes en tu red???

Que antivirus usas???

Tienes Messenger en las diferentes maquinas???

No soy experto en redes, ya te guiaran con mayor exactitud los
especialistas, pero es importante esta información basica.

Yo probaría ir pasando antivirus en línea, maquina por maquina y
ir aislándolas una vez limpia, pero es solo una sugerencia.

Por si te sirve, aquí tienes los mejores antivirus en línea:

ANTIVIRUS EN LÍNEA



http://es.trendmicro-europe.com/con...launch.php

http://housecall.antivirus.com/hous...t_corp.asp

http://www.bitdefender-es.com/index.php

http://www.kaspersky.com/remoteviruschk.html

http://www.kaspersky.com/virusscanner

http://security.norton.com/sscv6/de...;venid=sym

http://us.mcafee.com/root/speedometer.asp?cid”38

http://www.pandasoftware.es/activescan

http://www.eset.com.uy/online-scanner

http://www.nod32.com.uy/online-scanner

http://safety.live.com

http://www.ewido.net/en/onlinescan



SITIO COMPLETO SOBRE SEGURIDAD

http://alerta-antivirus.red.es/util...articulo=1







Saludos.






Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-


ATENCIÓN!!! EL VIRUS MAS DESTRUCTIVO ESTA ENTRE EL TECLADO Y LA
SILLA.


Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware 2007, Spybot Search 1.5.1, Spyware Blaster 4.0-
Antivirus el mejor Nod 32 (de pago) y Avg 7.5 Avast 4.7
gratuitos-
ZoneAlarm Versión 7.0.462.000
































"Gustavo Cáceres" escribió en el
mensaje news:%23%236xYz$

Hola a todos.
La verdad, es que estoy posteando en varios grupos porque no sé
cómo poder "frenar" la emisión de Spam desde mi red.

Me han colocado en listas como Emisor de Spam, y se me indica que
probablemente esté infectado por algun tipo de virus y pertenezca
a un BotNet.

Tengo mis server libre de virus, en mis máquinas clientes tengo
runando una solución antivirus, y sólo permito que mi IsaServer
envíe paquetes por el puerto 25, siempre y cuando dichos paquetes
dengan de la IP de mi Enxchange Server
Acabo de solicitar que me den de baja de la lista, pero...

¿Cómo puedo proteger mi red, para no ser utilizado?

Gracias de antemano por la ayuda que espero impaciente...

Saludos..
Gustavo Cáceres