Bonjour
 
j'ai un serveur de messagerie exchange 2003, le problème c'est que mon IP est black listé à plusieurs reprise ,et j'arrive toujours pas a détecter le pc responsable de mon reseau local.
 
ci-joint le header d'un des message spam :
 
[#ff3800][#ff3800][#f0ff00][#ff3800]Return-path: <c.elenekr@xerox.com>
Envelope-to: karlgren-yoshi@SPAMTRAP.INVALID
Delivery-date: Fri, 01 Oct 2010 04:07:48 +0200
Received: from mail.Mondomaine.ma ([Mon IP] helo=xwkquh)
 by mail.ixlab.de with esmtp (Exim 4.69)
 (envelope-from <c.elenekr@xerox.com> )
 id 1P1V2D-0007gp-S9; Fri, 01 Oct 2010 04:07:45 +0200
In-Reply-To: <f98b01cb5d53$a351feeb$71e6538e@r417rf3>
Subject: ViagraDiscounts, CheapCialis & Much More. Discreet Packaging and Fast Shipping 054
From: "Carlene Elene" <c.elenekr@xerox.com>
To: <karlgren-yoshi@SPAMTRAP.INVALID>
Reply-To: "Carlene Elene" <c.elenekr@xerox.com>
X-Sender: <c.elenekr@xerox.com>
Message-ID: <4CA54F61.0FCAAD95@xerox.com>
MIME-Version: 1.0
Date: Thu, 30 Sep 2010 20:02:57 -0700
Sender: <c.elenekr@xerox.com>
Content-Type: multipart/alternative;
 boundary="----=_Part_7744_0E9D_D20DE020.092923BD"
User-Agent: Mozilla/5.043 (Windows; U; Windows NT 5.0; U; NT4.0; en-us) Gecko/25250101
X-NiX-Spam-Source-IP: 41.141.249.57
X-NiX-Spam-MX: mail.ixlab.de
X-NiX-Spam-Listed: yes

regarde le traffic smtp de ton réseau ?
 
Sinon tu peux toujours t'amuser à passer sur tous les postes un à un et faire la commande netstat /a dans la console ==> si tu as une passerelle linux c'est encore plus simple.
 
Tu devrait être en mesure de vite trouver le fautif

j'ai trouvé le pc responsable après avoir vérifier tout les 80 pc de mon réseau local , c'était très fatigant, mon problème est résolu, mais je voulait vous demandé une méthode  centralisé qui peut m'aider a détecter la source local du spam (snifer , commande...)
 
merci infiniment

Tu bloques le port 25 sur ton FW sauf pour ton serveur Exchange. D'ailleurs c'est une bonne politique de bloquer tous les ports  par défaut et d'ouvrir au coup par coup en fonction de tes besoins.
 
Et n'oublie pas de demander un deblaklistage sur les sites qui t'on référencé maintenant que tu as résolu le problème.

 
Il ne faut as ouvrir le port 587 du coup en faisant sa ?

Non.    Enfin ça dépend de ce que tu veux faire. Et il faudrait aussi plus d'information sur le réseau de  killerinstinct1. Dans ma réponse, je suppose qu'on ne veut envoyer des mails que via le serveur Exchange et que le serveur Exchange à la même ip publique que les poste clients. On laisse le port 25 en entrée et en sortie pour le serveur Exchange mais on le ferme pour tout les autres.  Chez des clients blacklistés, je vois souvent des malwares qui se créent leur propre serveur smtp en local sur des postes clients. Par contre je n'en rencontre pas qui utilisent le serveur Exchange directement pour envoyer du spam. D'ailleurs, dans ce cas, on les verraient passer dans les logs d'Exchange or killerinstinct1 ne semble pas les avoir vu.
 
L'histoire du port 587 ça serait dans le cas ou il y a un FW entre le serveur mail et le poste client. Mais avec Exchange tu utilises en général Outlook et une interface MAPI propriétaire Microsoft donc ça ne s'applique pas ici.