Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2322 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help we've been hacked!

Buggrit
[:O] We have an exchange sever behind an ASG-120.  The  ASG reported a sudden increase in SMTP mail traffic. The customer also reports slow network response as well. I suspect we have an SMTP-Auth hack and I need to stop it as soon as possible this morning. 

Most of our users are internal and do not require access to the mail server from outside the etwork to send their mail (except those that connect using VPN access). 

What can I do at the firewall to stop this relaying and if anyone can point me in the direction of any good step-by-step guides to locking down relaying on the exchange server, that would be a real bonus.

Many Thanks,

JB


This thread was automatically locked due to age.
Parents
  • 0
    Have you looked into the Mailqueue on the Exchange? Are there a lot of outgoing mail there???

    You can block in- and outgoing traffic to/from the exchange server totally, or at least SMTP ports (25, 587). But this affects all other in-/outgoing mails too of course. But maybe the best you can do for the moment.


    •  Then, try to clean out the mail queue.
    •  Update you Software
    •  Create a good password policy and force all users to change the password to a good one.


    That would be my first tasks.
  • 0 in reply to UrsWeiss
    Thanks for the reply. Unfortunately blocking incoming e-mail traffic is not an option. I have restricted the relaying to domain authenticated users who are also in the internal network (ans VPNs) 

    The mail queues are empty right now, so maybe this has done the trick...

    It would be useful to know if anyone knows of a simple step by step treatise on exchange server best-practice set-up, to help others avoid this happening.

    Also shouldn't the ASG warn when a sudden increased traffic is seen for a given protocol. surely it would be easy to implement a dynamic rolling delta threshold check, beyond which alerts start being sent.

    Maybe that's already there and I have not seen it yet. If anyone knows, that would be useful too.

    Thanks again for your reply whity

    JB
Reply
  • 0 in reply to UrsWeiss
    Thanks for the reply. Unfortunately blocking incoming e-mail traffic is not an option. I have restricted the relaying to domain authenticated users who are also in the internal network (ans VPNs) 

    The mail queues are empty right now, so maybe this has done the trick...

    It would be useful to know if anyone knows of a simple step by step treatise on exchange server best-practice set-up, to help others avoid this happening.

    Also shouldn't the ASG warn when a sudden increased traffic is seen for a given protocol. surely it would be easy to implement a dynamic rolling delta threshold check, beyond which alerts start being sent.

    Maybe that's already there and I have not seen it yet. If anyone knows, that would be useful too.

    Thanks again for your reply whity

    JB
Children
No Data
Cookie Information Banner