Become a partner   | Request Support  | Contact Sales  | 1Stack access

    • KNOWLEDGE BASE

    Knowledge Base
    1Backup
    Acronis
    Antivirus
    Email
    Firewall
    GFI Software
    Mail
    Monitoring
    N-Able
    Sicurezza
    TSPlus
    1. On Premises
    2. Kerio Connect
    3. General
    Diventa Autore per CoreTech | Scopri di più
    × Non sei ancora nostro cliente KerioConnect? Diventa Partner CoreTech e visita il nostro configuratore prezzi

    Come capire che Il proprio Kerio Connect è stato compromesso e usato per spamming

    In questo breve tutorial vedremo come capire se il proprio server Kerio Connect è stato compromesso e usato per fare Spamming

     

    Dettagli

    Il tuo server potrebbe essere compromesso se anche solo un evento di questa lista accade

    • Il tuo server Kerio Connect è lento.
    • Agli utenti vengono “rimbalzate” (rispedite) delle mail che non avevano spedito.
    • L’IP esterno del tuo Kerio Connect Server è finito all’interno di una BlackList.
    • Una grande coda di mail identiche inviate verso contatti da voi non solitamente usati per certi tipi di trasferimento.

    Questi messaggi possono essere inviati a Yahoo, AOL. Hotmail ed altri.

    Una combinazione di questi eventi potrebbe significare che qualche password è stata rubata o una macchina si è presa un virus che causa tali attacchi spam.

     

     

    Verificare i messaggi degli utenti nella coda dei messaggi

    Il Kerio Connect può mostrare le informazioni su chi invia messaggi e da dove provengono tali messaggi.

    1. Nell’interfaccia di amministrazione go to Status → Message Queue.
    2. Click destro su ogni intestazione di colonna.
    3. Click su  Columns.
    4. Select Authenticated Sender e Sender IP.

    Authenticated sender indica che tale password dell’utente è stata compromessa.

    Sender IP può aiutare ad indicare se le mail sono state inviate internamente (questo può indicare un virus o un Trojan sulla macchina locale), o esternamente (questo può indicare o una password intuita o un utente autenticato).

    Esempio:

     

     

    Nell’esempio qui sopra:

    • Il From address è costantemente cambiato e invia a fakedomain.com.
    • L’ Authenticated Sender è sempre jack@localhost.

    Questo potrebbe indicare che la password è stata compromessa / intuita.

    Per risolvere questo problema:

    1. Cambiare la password Utente

    Per precauzione, cambiare le password di tutti gli utenti.

    Eseguire una scan virus / malware su tutte le macchine che quel particolare utente (come quello dell’esempio) ha usato.

    Questa procedura DOVREBBE individuare ogni possibile problema e fermare lo spam di email dal vostro server..