GWIA несанкционированный relay

[Dimerson]

В общем с вероятностью 99% у искомых юзеров пароль=username или что-нибудь вроде 12345 итд. В общем подобрали пароль и шлют спам от них.

UPD:
Вышел с отпуска - жалуются что МЕЕЕЕДЛЕННО работает groupwise.
Смотрю по приборам - все ок. Как бы все штатно воркает. В тот момент и загруза CPU не было особого.
На следующий день CPU0 load =100%.
Начинаю копать - грузит сканер GWAVA причем тот что GWIA.
В логах GWIA все ок (не расширенных).

Смотрю дальше:

в WPGATE\GWIA\3rd\receive - 5000+ шт писем. все от 3-х наших юзверей и реципиентов везде много и сплошь на домены .cn и .tw.

Двоим из них сменил пароли. Третий тк уволился в тот день (по независящим обстоятельствам) - прибил аккаунт GW.
Почистил каталог от файлов где FROM от этих 3 персонажей.

Полегчало но все равно тормозит. Но меньше. Смотрю - тупит GWAVAQMS (менеджер карантина - грубо говоря то что заливает корпсы + хидеры в базу SQL для поиска и освобождения сообщений).

in_queue так же забита - 27000 мессаджей от тех же персов. там пришлось более грубо. Вычистил - полегчало радикально.
Даже ребут сервера не понадобился.

Тут надо думать про политику паролей или радикально какойнить MTA перед GWIA ставить. В GW2012 (GW7+SP стоит) нет ли возможность прописать отправку сообщений пользователями по SMTP только с нужной сети ?

[Сумин Евгений]

Прошу прощенья, что на долго пропал... Отпуск - дело святое...
Я поборол свою проблему. Она заключается в том, что вопреки запрету на рэлэй, при использовании аутентификации при SMTP рэлэить таки можно (спасибо вам за эту наводку). Я попробовал - получилось, научился сам повторять проблему, т.е. отсылать с наружи левые письма. Вести жесткую политику с паролями мне проблемно. Поэтому я в настройках GWIA->PostOfficeLincs указал левый адрес POA, т.к. GWIA проходит аутентификацию именно там. Теперь никакая аутентификация SMTP не проходит в принципе и несанкционированный рэлэй прекратился.
Вообще это как-то странно, что нельзя жестко и однозначно запретить рэлэй. Это мармоны протупили...
Всем спасибо!

[Clericos]

Прошу прощенья, что на долго пропал... Отпуск - дело святое...
Я поборол свою проблему. Она заключается в том, что вопреки запрету на рэлэй, при использовании аутентификации при SMTP рэлэить таки можно (спасибо вам за эту наводку). Я попробовал - получилось, научился сам повторять проблему, т.е. отсылать с наружи левые письма. Вести жесткую политику с паролями мне проблемно. Поэтому я в настройках GWIA->PostOfficeLincs указал левый адрес POA, т.к. GWIA проходит аутентификацию именно там. Теперь никакая аутентификация SMTP не проходит в принципе и несанкционированный рэлэй прекратился.
Вообще это как-то странно, что нельзя жестко и однозначно запретить рэлэй. Это мармоны протупили...
Всем спасибо!

Так если есть аутентификация - это уже авторизованный пользователь, который может слать письма.
А как аутентификацию проходили? Был простой пароль у одного из юзеров?

[Dimerson]

мне совсем это отрубить не получится - есть сервисы что шлют через GWIA с авторизацией (например GWAVA) ....
имхо это не проблема с релеем а проблема с паролями у юзеров .

[Сумин Евгений]

Да, в конкретном случае был у нас почтовый ящик, который создавали для получения резюмэ, лет 5 назад, так там пароль был 123456 - его бы давно прибить нужно было, но как-то я забыл о нем... Но в принципе пароль штука такая - можно подобрать, подсмотреть - есть у нас индивиды, которые норовят пароль на клавиатуре писать - гоняешь их, гоняешь... Поэтому как по мне ликвидация возможности аутентификации - самый надежный способ.

Что касается сервисов, которые таки должны релеить, то тут как по мне проще поступить естественным путем - разрешить неавторизированный релей с их ИП-адресов. Особенно если это внутренние сервисы - такое снаружи не подделаешь.