Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help we've been hacked!

Buggrit
[:O] We have an exchange sever behind an ASG-120.  The  ASG reported a sudden increase in SMTP mail traffic. The customer also reports slow network response as well. I suspect we have an SMTP-Auth hack and I need to stop it as soon as possible this morning. 

Most of our users are internal and do not require access to the mail server from outside the etwork to send their mail (except those that connect using VPN access). 

What can I do at the firewall to stop this relaying and if anyone can point me in the direction of any good step-by-step guides to locking down relaying on the exchange server, that would be a real bonus.

Many Thanks,

JB


This thread was automatically locked due to age.
  • 0
    Have you looked into the Mailqueue on the Exchange? Are there a lot of outgoing mail there???

    You can block in- and outgoing traffic to/from the exchange server totally, or at least SMTP ports (25, 587). But this affects all other in-/outgoing mails too of course. But maybe the best you can do for the moment.


    •  Then, try to clean out the mail queue.
    •  Update you Software
    •  Create a good password policy and force all users to change the password to a good one.


    That would be my first tasks.
  • 0 in reply to UrsWeiss
    Thanks for the reply. Unfortunately blocking incoming e-mail traffic is not an option. I have restricted the relaying to domain authenticated users who are also in the internal network (ans VPNs) 

    The mail queues are empty right now, so maybe this has done the trick...

    It would be useful to know if anyone knows of a simple step by step treatise on exchange server best-practice set-up, to help others avoid this happening.

    Also shouldn't the ASG warn when a sudden increased traffic is seen for a given protocol. surely it would be easy to implement a dynamic rolling delta threshold check, beyond which alerts start being sent.

    Maybe that's already there and I have not seen it yet. If anyone knows, that would be useful too.

    Thanks again for your reply whity

    JB
  • 0
    With Exchange, the best practice is to eliminate all other outbound SMTP traffic.  That prevents the use of Outlook (and other mail clients) with outside services (except those using alternate SMTP ports), but it specifically prevents malware from sending email from an infected PC.

    This means that you should should allow relaying only from the Exchange server, and that there should be no packet filter rule allowing outbound Port-25 traffic.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    there was a pretty nastly old-school e-mail/web payload virus going around last week - whats happening at the desktop level?
  • 0 in reply to Kingbuzzo
    What Bob said, +

    It sounds like you had an open relay ... there's no way any security device could differentiate between "good" relay traffic and "bad" relay traffic.  This sounds like a case of misconfiguration.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Agreed. I think it was a mis-configuration. I've amended that now, but I was interested to find out if there was anything the ASG could do to monitor the traffic volume delta for a given specific port or port-range (e.g. port 25) and so highlight unusual traffic volume patterns in properly authenticated 'super-normal' traffic.

    JB
  • 0
    Buggrit,

          You fixed your email relay problem by restricting email to domain authenticated users. You will need to go to Microsoft to get the best practices. Microsoft has put out a tool called Microsoft Baseline Security Analyzer that will help with this problem and any other security issues on your box. The tool is good but it is not as good as some of the commercial products but you cannot beat the price.

    As far Astaro providing a notification when traffic changes. There is no automatic notification that I know of other then looking at the daily/weekly/monthly reports and conducting a manual analysis to determine if there is a problem.

    Griff
Cookie Information Banner