L'administrateur exchange re=E7oit des messages de non-distribution de
ce type de messages:
"Email Account Suspension", ou " Your new account password is
approved", envoy=E9s =E0 des destinataires qui n'existent pas,
helen@mon_domaine.fr, stan@mon_domain.fr, etc, =E9videmment accompagn=E9s
d'une pi=E8ce jointe.
Bon, je sais que =E7a correspond =E0 des virus, mais est-il possible de
retrouver les machines infect=E9es? Peut-on acc=E9der aux en-t=EAtes des
messages, et y retrouverai-je l'=E9metteur?
Sinon, y a t'il un moyen pour "scanner" un parc et rep=E9rer les
machines v=E9rol=E9es (ou je r=EAve un peu?)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent DURAIN
Bonjour,
On peut parfois retrouver l'émetteur de tels message dans l'entête, mais on a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce programme possède un référencement de sites émetteur de pourriels qui sont bloqués immédiatement.
Dans ton cas, avec Exchange, tu peux paramétrer l'option Reverse DNS (recherche DNS inversée). Lorsqu'un message arrive, exchange récupère le domaine de messagerie émetteur et va consulter un serveur DNS. Si l'ip de l'émetteur ne corespond pas avec le nom domaine annoncé, c'est qu'il y a usurpation et le message est refusé. Teste cette option avant de la mettre en prod, ça mange beaucoup de bande passante.
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station géré par une console d'administration centralisée. A partir de cette console, tu dois pouvoir déclencher à distance un scan de tous tes postes. J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Bon courage.
Cordialement.
"Lorraine" a écrit dans le message de news: Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de ce type de messages: "Email Account Suspension", ou " Your new account password is approved", envoyés à des destinataires qui n'existent pas, , , etc, évidemment accompagnés d'une pièce jointe. Bon, je sais que ça correspond à des virus, mais est-il possible de retrouver les machines infectées? Peut-on accéder aux en-têtes des messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les machines vérolées (ou je rêve un peu?)
Merci de m'éclairer, je patauge...
Lorraine
Bonjour,
On peut parfois retrouver l'émetteur de tels message dans l'entête, mais on
a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for
Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux
blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce
programme possède un référencement de sites émetteur de pourriels qui sont
bloqués immédiatement.
Dans ton cas, avec Exchange, tu peux paramétrer l'option Reverse DNS
(recherche DNS inversée). Lorsqu'un message arrive, exchange récupère le
domaine de messagerie émetteur et va consulter un serveur DNS. Si l'ip de
l'émetteur ne corespond pas avec le nom domaine annoncé, c'est qu'il y a
usurpation et le message est refusé. Teste cette option avant de la mettre
en prod, ça mange beaucoup de bande passante.
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station
géré par une console d'administration centralisée. A partir de cette
console, tu dois pouvoir déclencher à distance un scan de tous tes postes.
J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs
antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Bon courage.
Cordialement.
"Lorraine" <lorraine.suschetet@laposte.net> a écrit dans le message de
news:1138350345.970792.189900@g43g2000cwa.googlegroups.com...
Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de
ce type de messages:
"Email Account Suspension", ou " Your new account password is
approved", envoyés à des destinataires qui n'existent pas,
helen@mon_domaine.fr, stan@mon_domain.fr, etc, évidemment accompagnés
d'une pièce jointe.
Bon, je sais que ça correspond à des virus, mais est-il possible de
retrouver les machines infectées? Peut-on accéder aux en-têtes des
messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les
machines vérolées (ou je rêve un peu?)
On peut parfois retrouver l'émetteur de tels message dans l'entête, mais on a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce programme possède un référencement de sites émetteur de pourriels qui sont bloqués immédiatement.
Dans ton cas, avec Exchange, tu peux paramétrer l'option Reverse DNS (recherche DNS inversée). Lorsqu'un message arrive, exchange récupère le domaine de messagerie émetteur et va consulter un serveur DNS. Si l'ip de l'émetteur ne corespond pas avec le nom domaine annoncé, c'est qu'il y a usurpation et le message est refusé. Teste cette option avant de la mettre en prod, ça mange beaucoup de bande passante.
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station géré par une console d'administration centralisée. A partir de cette console, tu dois pouvoir déclencher à distance un scan de tous tes postes. J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Bon courage.
Cordialement.
"Lorraine" a écrit dans le message de news: Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de ce type de messages: "Email Account Suspension", ou " Your new account password is approved", envoyés à des destinataires qui n'existent pas, , , etc, évidemment accompagnés d'une pièce jointe. Bon, je sais que ça correspond à des virus, mais est-il possible de retrouver les machines infectées? Peut-on accéder aux en-têtes des messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les machines vérolées (ou je rêve un peu?)
Merci de m'éclairer, je patauge...
Lorraine
Lorraine
Bonjour,
Vincent DURAIN a écrit :
On peut parfois retrouver l'émetteur de tels message dans l'entête, m ais on a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce programme possède un référencement de sites émetteur de pourriels qui sont bloqués immédiatement.
En fait, je m'aperçois à la relecture de mon message que je n'étais pas claire: je pense que les machines infectées sont à l'intérieur de mon LAN, et donc, je crois que le protocole SMTP n'est pas impliqué dans le transfert à l'intérieur du domaine de messagerie. Et en fait, c'est ça mon problème: je sais voir les en-têtes de messages provenant de l'extérieur, mais dans le cas de messages ne circulant qu'en interne, je me demandais si on pouvait voir la machine émettrice. J'ai l'impression que non :-(
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station géré par une console d'administration centralisée. A partir de cette console, tu dois pouvoir déclencher à distance un scan de tous tes po stes. J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Oui, ok, c'est ce que j'imaginais, sans bien connaître le monde de l'anti-virus. Bon, pour le scan client, je vais voir ce qu'on peut faire. J'espérais juste être plus sélective en identifiant directement sur Exchange les machines à problème.
Merci pour tes réponses.
Mes excuses à tous pour avoir multi-posté, je positionne (un peu tard) le suivi sur microsoft.public.fr.exchange.
Lorraine
"Lorraine" a écrit dans le message de news: Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de ce type de messages: "Email Account Suspension", ou " Your new account password is approved", envoyés à des destinataires qui n'existent pas, , , etc, évidemment accompagnés d'une pièce jointe. Bon, je sais que ça correspond à des virus, mais est-il possible de retrouver les machines infectées? Peut-on accéder aux en-têtes des messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les machines vérolées (ou je rêve un peu?)
Merci de m'éclairer, je patauge...
Lorraine
Bonjour,
Vincent DURAIN a écrit :
On peut parfois retrouver l'émetteur de tels message dans l'entête, m ais on
a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for
Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux
blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce
programme possède un référencement de sites émetteur de pourriels qui sont
bloqués immédiatement.
En fait, je m'aperçois à la relecture de mon message que je n'étais
pas claire: je pense que les machines infectées sont à l'intérieur
de mon LAN, et donc, je crois que le protocole SMTP n'est pas impliqué
dans le transfert à l'intérieur du domaine de messagerie. Et en fait,
c'est ça mon problème: je sais voir les en-têtes de messages
provenant de l'extérieur, mais dans le cas de messages ne circulant
qu'en interne, je me demandais si on pouvait voir la machine
émettrice.
J'ai l'impression que non :-(
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station
géré par une console d'administration centralisée. A partir de cette
console, tu dois pouvoir déclencher à distance un scan de tous tes po stes.
J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs
antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Oui, ok, c'est ce que j'imaginais, sans bien connaître le monde de
l'anti-virus.
Bon, pour le scan client, je vais voir ce qu'on peut faire. J'espérais
juste être plus sélective en identifiant directement sur Exchange les
machines à problème.
Merci pour tes réponses.
Mes excuses à tous pour avoir multi-posté, je positionne (un peu
tard) le suivi sur microsoft.public.fr.exchange.
Lorraine
"Lorraine" <lorraine.suschetet@laposte.net> a écrit dans le message de
news:1138350345.970792.189900@g43g2000cwa.googlegroups.com...
Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de
ce type de messages:
"Email Account Suspension", ou " Your new account password is
approved", envoyés à des destinataires qui n'existent pas,
helen@mon_domaine.fr, stan@mon_domain.fr, etc, évidemment accompagnés
d'une pièce jointe.
Bon, je sais que ça correspond à des virus, mais est-il possible de
retrouver les machines infectées? Peut-on accéder aux en-têtes des
messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les
machines vérolées (ou je rêve un peu?)
On peut parfois retrouver l'émetteur de tels message dans l'entête, m ais on a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce programme possède un référencement de sites émetteur de pourriels qui sont bloqués immédiatement.
En fait, je m'aperçois à la relecture de mon message que je n'étais pas claire: je pense que les machines infectées sont à l'intérieur de mon LAN, et donc, je crois que le protocole SMTP n'est pas impliqué dans le transfert à l'intérieur du domaine de messagerie. Et en fait, c'est ça mon problème: je sais voir les en-têtes de messages provenant de l'extérieur, mais dans le cas de messages ne circulant qu'en interne, je me demandais si on pouvait voir la machine émettrice. J'ai l'impression que non :-(
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station géré par une console d'administration centralisée. A partir de cette console, tu dois pouvoir déclencher à distance un scan de tous tes po stes. J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Oui, ok, c'est ce que j'imaginais, sans bien connaître le monde de l'anti-virus. Bon, pour le scan client, je vais voir ce qu'on peut faire. J'espérais juste être plus sélective en identifiant directement sur Exchange les machines à problème.
Merci pour tes réponses.
Mes excuses à tous pour avoir multi-posté, je positionne (un peu tard) le suivi sur microsoft.public.fr.exchange.
Lorraine
"Lorraine" a écrit dans le message de news: Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de ce type de messages: "Email Account Suspension", ou " Your new account password is approved", envoyés à des destinataires qui n'existent pas, , , etc, évidemment accompagnés d'une pièce jointe. Bon, je sais que ça correspond à des virus, mais est-il possible de retrouver les machines infectées? Peut-on accéder aux en-têtes des messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les machines vérolées (ou je rêve un peu?)
Merci de m'éclairer, je patauge...
Lorraine
Bernard Z
Bonjour Lorraine,
Si la propagation se fait en "interne", tu peux regarder dans les propriétés (onglet détails) du message l'adresse IP de l'émetteur. Un "ping [ip découverte] -a" t'indiquera de quelle machine il provient.
Bonne chance ;-)
"Lorraine" a écrit dans le message de news:
Bonjour,
Vincent DURAIN a écrit :
On peut parfois retrouver l'émetteur de tels message dans l'entête, mais on a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce programme possède un référencement de sites émetteur de pourriels qui sont bloqués immédiatement.
En fait, je m'aperçois à la relecture de mon message que je n'étais pas claire: je pense que les machines infectées sont à l'intérieur de mon LAN, et donc, je crois que le protocole SMTP n'est pas impliqué dans le transfert à l'intérieur du domaine de messagerie. Et en fait, c'est ça mon problème: je sais voir les en-têtes de messages provenant de l'extérieur, mais dans le cas de messages ne circulant qu'en interne, je me demandais si on pouvait voir la machine émettrice. J'ai l'impression que non :-(
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station géré par une console d'administration centralisée. A partir de cette console, tu dois pouvoir déclencher à distance un scan de tous tes postes. J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Oui, ok, c'est ce que j'imaginais, sans bien connaître le monde de l'anti-virus. Bon, pour le scan client, je vais voir ce qu'on peut faire. J'espérais juste être plus sélective en identifiant directement sur Exchange les machines à problème.
Merci pour tes réponses.
Mes excuses à tous pour avoir multi-posté, je positionne (un peu tard) le suivi sur microsoft.public.fr.exchange.
Lorraine
"Lorraine" a écrit dans le message de news: Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de ce type de messages: "Email Account Suspension", ou " Your new account password is approved", envoyés à des destinataires qui n'existent pas, , , etc, évidemment accompagnés d'une pièce jointe. Bon, je sais que ça correspond à des virus, mais est-il possible de retrouver les machines infectées? Peut-on accéder aux en-têtes des messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les machines vérolées (ou je rêve un peu?)
Merci de m'éclairer, je patauge...
Lorraine
Bonjour Lorraine,
Si la propagation se fait en "interne", tu peux regarder dans les propriétés
(onglet détails) du message l'adresse IP de l'émetteur. Un "ping [ip
découverte] -a" t'indiquera de quelle machine il provient.
Bonne chance ;-)
"Lorraine" <lorraine.suschetet@laposte.net> a écrit dans le message de news:
1138363508.484315.53610@z14g2000cwz.googlegroups.com...
Bonjour,
Vincent DURAIN a écrit :
On peut parfois retrouver l'émetteur de tels message dans l'entête, mais
on
a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for
Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux
blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce
programme possède un référencement de sites émetteur de pourriels qui sont
bloqués immédiatement.
En fait, je m'aperçois à la relecture de mon message que je n'étais
pas claire: je pense que les machines infectées sont à l'intérieur
de mon LAN, et donc, je crois que le protocole SMTP n'est pas impliqué
dans le transfert à l'intérieur du domaine de messagerie. Et en fait,
c'est ça mon problème: je sais voir les en-têtes de messages
provenant de l'extérieur, mais dans le cas de messages ne circulant
qu'en interne, je me demandais si on pouvait voir la machine
émettrice.
J'ai l'impression que non :-(
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station
géré par une console d'administration centralisée. A partir de cette
console, tu dois pouvoir déclencher à distance un scan de tous tes postes.
J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs
antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Oui, ok, c'est ce que j'imaginais, sans bien connaître le monde de
l'anti-virus.
Bon, pour le scan client, je vais voir ce qu'on peut faire. J'espérais
juste être plus sélective en identifiant directement sur Exchange les
machines à problème.
Merci pour tes réponses.
Mes excuses à tous pour avoir multi-posté, je positionne (un peu
tard) le suivi sur microsoft.public.fr.exchange.
Lorraine
"Lorraine" <lorraine.suschetet@laposte.net> a écrit dans le message de
news:1138350345.970792.189900@g43g2000cwa.googlegroups.com...
Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de
ce type de messages:
"Email Account Suspension", ou " Your new account password is
approved", envoyés à des destinataires qui n'existent pas,
helen@mon_domaine.fr, stan@mon_domain.fr, etc, évidemment accompagnés
d'une pièce jointe.
Bon, je sais que ça correspond à des virus, mais est-il possible de
retrouver les machines infectées? Peut-on accéder aux en-têtes des
messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les
machines vérolées (ou je rêve un peu?)
Si la propagation se fait en "interne", tu peux regarder dans les propriétés (onglet détails) du message l'adresse IP de l'émetteur. Un "ping [ip découverte] -a" t'indiquera de quelle machine il provient.
Bonne chance ;-)
"Lorraine" a écrit dans le message de news:
Bonjour,
Vincent DURAIN a écrit :
On peut parfois retrouver l'émetteur de tels message dans l'entête, mais on a souvent des pb d'usurpation d'identité.
Pour limiter ça, tu peux utiliser un produit type Symantec Antivirus for Gateways qui te filtre tout ce qui passe par le protocole SMTP. Tu peux blacklister des adresses, filtrer sur des mots clés, et depuis peu, ce programme possède un référencement de sites émetteur de pourriels qui sont bloqués immédiatement.
En fait, je m'aperçois à la relecture de mon message que je n'étais pas claire: je pense que les machines infectées sont à l'intérieur de mon LAN, et donc, je crois que le protocole SMTP n'est pas impliqué dans le transfert à l'intérieur du domaine de messagerie. Et en fait, c'est ça mon problème: je sais voir les en-têtes de messages provenant de l'extérieur, mais dans le cas de messages ne circulant qu'en interne, je me demandais si on pouvait voir la machine émettrice. J'ai l'impression que non :-(
Pour ta deuxième question, tu dois avoir un antivirus sur chaque station géré par une console d'administration centralisée. A partir de cette console, tu dois pouvoir déclencher à distance un scan de tous tes postes. J'utilise Symantec client security et ça marche bien.
Si c'est pas le cas, faut passer sur chaque poste, vérifier que les defs antivirales sont à jour et lancer un scan manuel. Bref, la joie...
Oui, ok, c'est ce que j'imaginais, sans bien connaître le monde de l'anti-virus. Bon, pour le scan client, je vais voir ce qu'on peut faire. J'espérais juste être plus sélective en identifiant directement sur Exchange les machines à problème.
Merci pour tes réponses.
Mes excuses à tous pour avoir multi-posté, je positionne (un peu tard) le suivi sur microsoft.public.fr.exchange.
Lorraine
"Lorraine" a écrit dans le message de news: Bonjour,
L'administrateur exchange reçoit des messages de non-distribution de ce type de messages: "Email Account Suspension", ou " Your new account password is approved", envoyés à des destinataires qui n'existent pas, , , etc, évidemment accompagnés d'une pièce jointe. Bon, je sais que ça correspond à des virus, mais est-il possible de retrouver les machines infectées? Peut-on accéder aux en-têtes des messages, et y retrouverai-je l'émetteur?
Sinon, y a t'il un moyen pour "scanner" un parc et repérer les machines vérolées (ou je rêve un peu?)
