Trouver un ordinateur qui fait du spam via WatchGuard - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 23-03-2016 à 08:20:57
bidounet84 a écrit : Bonjour, |
Salut,
Tout d'abord il faut connaitre ton type de serveur de messagerie , c'est de l'Exchange? tu passes par un serveur tiers ( smtp ) si oui quel port.
Ensuite il faudra créer une policy proxy, coche send a log message
Tu as deux outils sympa et indispensable: Traffic Monitor et Watchguard Dimension.
Derniere chose, as-tu acheté les licences UTM et APT Blocker ?
zs
Marsh Posté le 23-03-2016 à 09:36:29
Oui c'est un exchange.
Il est hébergé en interne.
On a APT Blocker. Je vois également où se trouve Traffic Monitor et WatchGuard Dimension.
Mais où je dois chercher ou que dois-je chercher pour savoir quel poste ou IP il s'agit ?
Marsh Posté le 23-03-2016 à 09:51:37
bidounet84 a écrit : Oui c'est un exchange. |
Peux-tu tu faire une screeen de la conf policy manager?
Marsh Posté le 23-03-2016 à 09:51:39
Ton "serveur" mail peut etre blacklisté pour 2 choses :
- ton serveur exchange fait relay smtp (il suffit de bloquer la fonction relay), si tu peux meme, utilise une passerelle smtp en dmz.
- ton nom de domaine est utilisé par un tiers...
Marsh Posté le 23-03-2016 à 10:10:47
En règle général, on laisse passer en trafic sortant ce qui est nécessaire .
Effectivement il faut aussi s'assurer que tu ne sois pas open relay :
http://mxtoolbox.com/diagnostic.aspx
Marsh Posté le 23-03-2016 à 18:17:13
Le plus simple pour trouver un poste qui spam ou essaye de communiquer avec un site sur une blacklist:
Tu vas sur mxtoolbox, tu fais ta recherches sur blacklist.
Tu as ensuite de grandes chances de te retrouver sur la liste CBL.
Tu vas sur leur lien vers le site de CBL, ils vont te dire depuis quand date la dernière remontée ainsi que l'IP et le port sur lequel ton poste s'est connecté.
Il te suffit ensuite de bloquer l'accès à ce port ou à cette ip dans le pare-feu.
Dés que tu vois le blocage dans les logs, tu auras l'ip de ton poste.
Si tu es blacklisté, ce n'est pas autant que tu envoies du spam.
Tu peux aussi avoir un poste zombie qui essaye de se connecter à son poste de commande.
Pour les open relais, c'est devenu beaucoup plus rare aujourd'hui.
Marsh Posté le 23-03-2016 à 18:34:23
Si je tape mon nom de domaine ou IP publique effectivement je suis sur CBL.
Si je vais chez eux il m'indique la même chose mais il ne me donne pas l'IP de la machine puisqu'on sort tous par la même sortie.
Marsh Posté le 23-03-2016 à 18:38:51
Oui, CBL ne te donnera pas l'ip locale du poste.
Mais tu auras les ip et ports destination.
Marsh Posté le 23-03-2016 à 19:14:28
normalement le port 25 n'est autorisé que pour le serveur de messagerie...
edit : si le FW a été configuré correctement...
Marsh Posté le 23-03-2016 à 19:21:35
il est bien aussi fermé tous les ports non utilisés.
Il suffit qu'un malware se connecte sur certaines IP pour se retrouver sur une blacklist.
Tout ayant envoyé aucun spam et juste fait une seule connexion.
un invité dans l'entreprise peut se connecter au wifi et blacklister l'ip de l'entreprise suite à son passage.
Marsh Posté le 23-03-2016 à 20:55:49
il suffit de regarder sur la traffic monitor le traffic qui sort sur le port 25 autre que l'ip de ton exchange.
je viens de m'equiper en watchguard aussi c'est super bien ces petites betes la, on peut tout voir.
Marsh Posté le 23-03-2016 à 21:05:30
Salut,
regarde ce qui sort de l'exchange.
Il y a quelques années, le serveur exchange d'un client s'était mis à répondre à tous les spams qu'il recevait.
A+
Marsh Posté le 23-03-2016 à 08:11:41
Bonjour,
Je viens de faire l'acquisition d'un WatchGuard.
On m'a indiqué que je pourrais retrouver facilement si j'ai une machine infecté et qui fait du spam sur mon réseau.
Cela doit être le cas car je suis blacklisté sur plusieurs liste d'après Mxtoolbox.
Sur quel menu se trouve cette information, afin que je nettoie cet ordinateur ?
Merci d'avance de votre retour.