Trouver un ordinateur qui fait du spam via WatchGuard

Trouver un ordinateur qui fait du spam via WatchGuard - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 23-03-2016 à 08:11:41    

Bonjour,
Je viens de faire l'acquisition d'un WatchGuard.
On m'a indiqué que je pourrais retrouver facilement si j'ai une machine infecté et qui fait du spam sur mon réseau.
Cela doit être le cas car je suis blacklisté sur plusieurs liste d'après Mxtoolbox.
 
Sur quel menu se trouve cette information, afin que je nettoie cet ordinateur ?
 
Merci d'avance de votre retour.

Reply

Marsh Posté le 23-03-2016 à 08:11:41   

Reply

Marsh Posté le 23-03-2016 à 08:20:57    

bidounet84 a écrit :

Bonjour,
Je viens de faire l'acquisition d'un WatchGuard.
On m'a indiqué que je pourrais retrouver facilement si j'ai une machine infecté et qui fait du spam sur mon réseau.
Cela doit être le cas car je suis blacklisté sur plusieurs liste d'après Mxtoolbox.
 
Sur quel menu se trouve cette information, afin que je nettoie cet ordinateur ?
 
Merci d'avance de votre retour.


 
 
Salut,
 
Tout d'abord il faut connaitre ton type de serveur de messagerie , c'est de l'Exchange? tu passes par un serveur tiers ( smtp ) si oui quel port.
Ensuite il faudra créer une policy proxy, coche send a log message
 
Tu as deux outils sympa et indispensable: Traffic Monitor et Watchguard Dimension.
 
Derniere chose, as-tu acheté les licences UTM et APT Blocker ?
 
zs
 

Reply

Marsh Posté le 23-03-2016 à 09:36:29    

Oui c'est un exchange.
Il est hébergé en interne.
 
On a APT Blocker. Je vois également où se trouve Traffic Monitor et WatchGuard Dimension.
Mais où je dois chercher ou que dois-je chercher pour savoir quel poste ou IP il s'agit ?

Reply

Marsh Posté le 23-03-2016 à 09:51:37    

bidounet84 a écrit :

Oui c'est un exchange.
Il est hébergé en interne.
 
On a APT Blocker. Je vois également où se trouve Traffic Monitor et WatchGuard Dimension.
Mais où je dois chercher ou que dois-je chercher pour savoir quel poste ou IP il s'agit ?


 
 
Peux-tu tu faire une screeen de la conf policy manager?

Reply

Marsh Posté le 23-03-2016 à 09:51:39    

Ton "serveur" mail peut etre blacklisté pour 2 choses :
 
- ton serveur exchange fait relay smtp (il suffit de bloquer la fonction relay), si tu peux meme, utilise une passerelle smtp en dmz.
 
- ton nom de domaine est utilisé par un tiers...


---------------
------------------------------------------
Reply

Marsh Posté le 23-03-2016 à 10:10:47    

En règle général, on laisse passer en trafic sortant ce qui est nécessaire .
 
Effectivement il faut aussi s'assurer que tu ne sois pas open relay :
 
http://mxtoolbox.com/diagnostic.aspx
 
 

Reply

Marsh Posté le 23-03-2016 à 11:26:15    

Vérifier je ne suis pas en OpenRelay

Reply

Marsh Posté le 23-03-2016 à 18:17:13    

Le plus simple pour trouver un poste qui spam ou essaye de communiquer avec un site sur une blacklist:
Tu vas sur mxtoolbox, tu fais ta recherches sur blacklist.
Tu as ensuite de grandes chances de te retrouver sur la liste CBL.
Tu vas sur leur lien vers le site de CBL, ils vont te dire depuis quand date la dernière remontée ainsi que l'IP et le port sur lequel ton poste s'est connecté.
 
Il te suffit ensuite de bloquer l'accès à ce port ou à cette ip dans le pare-feu.
Dés que tu vois le blocage dans les logs, tu auras l'ip de ton poste.
 
Si tu es blacklisté, ce n'est pas autant que tu envoies du spam.
Tu peux aussi avoir un poste zombie qui essaye de se connecter à son poste de commande.
Pour les open relais, c'est devenu beaucoup plus rare aujourd'hui.
 


Message édité par nnwldx le 23-03-2016 à 18:19:06
Reply

Marsh Posté le 23-03-2016 à 18:34:23    

Si je tape mon nom de domaine ou IP publique effectivement je suis sur CBL.
Si je vais chez eux il m'indique la même chose mais il ne me donne pas l'IP de la machine puisqu'on sort tous par la même sortie.

Reply

Marsh Posté le 23-03-2016 à 18:38:51    

Oui, CBL ne te donnera pas l'ip locale du poste.
Mais tu auras les ip et ports destination.

Reply

Marsh Posté le 23-03-2016 à 18:38:51   

Reply

Marsh Posté le 23-03-2016 à 19:14:28    

normalement le port 25 n'est autorisé que pour le serveur de messagerie...
 
edit : si le FW a été configuré correctement...


Message édité par djalex le 23-03-2016 à 19:14:49

---------------
------------------------------------------
Reply

Marsh Posté le 23-03-2016 à 19:21:35    

il est bien aussi fermé tous les ports non utilisés.
Il suffit qu'un malware se connecte sur certaines IP pour se retrouver sur une blacklist.
Tout ayant envoyé aucun spam et juste fait une seule connexion.
un invité dans l'entreprise peut se connecter au wifi et blacklister l'ip de l'entreprise suite à son passage.

Reply

Marsh Posté le 23-03-2016 à 20:55:49    

il suffit de regarder sur la traffic monitor le traffic qui sort sur le port 25 autre que l'ip de ton exchange.

 

je viens de m'equiper en watchguard aussi c'est super bien ces petites betes la, on peut tout voir.

Reply

Marsh Posté le 23-03-2016 à 21:05:30    

Salut,
regarde ce qui sort de l'exchange.
Il y a quelques années, le serveur exchange d'un client s'était mis à répondre à tous les spams qu'il recevait.
A+


---------------
Hommage au sergent Aurélie Salel - http://www.pompiersparis.fr/
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed