Strane email infette???????

[liolucas]

Vi spiegho il mio problema:
La società per cui lavoro ha un proprio server in housing ed io sono l'amministratore.
Ormai da qualche settimana c'è un problema di posta.
La mattina come mi collego apro Outlook e arrivano a volte anche 100 email piene di virus. Le email che arrivano sono quelle di mancato ricevimento della email ecco un esempio:

Delivery unsuccessful: Unknown recipient <eurotel@klikkacitta.it>

Unknown recipient: <pippo@klikkacitta.it> from: <milly1977@libero.it>
Mail has been rejected or forwarded

Tutte le email hanno degli indirizzi che non esistono e molte volte hanno anche degli allegati infetti.

Il server di posta che è installato sul server (WIN 2000) è il Merak Mail server e non vorrei che il problema sta proprio li.
Un'altra cosa che succede è che agli account che ho creato sul mail server arrivano queste email infette.
Es. Se invio una email normale , arriva ma insieme arrivano 23-30 email infette del tipo che h riportato sopra.
Non so cosa possa essere?????
Avevo pensato di contattare il gestore del servizio ma io solo ho la pass. del server e non mi fido molto a dalra a loro ammenochè dopo non la cambi.
Se qualcuno mi può aiutare...non so veramente cosa fare?
aspetto vostre notizie
CIAO E GRAZIE

[diegoctn]

Innanzitutto guardati gli header delle e-mail, poi fai una scansione delle porte e se ne trovi qualcuna "strana" la chiudi. Ciao.

[liolucas]

Diegoctn ti ringrazio per la risposta ma non ci ho capito molto???
Quali sono le porte??? Come faccio la scansione??

Devi spiegarmi meglio non sono così pratico!!!!
CIAO

[diegoctn]

Start---ESEGUI----Netstat -na 20 e vedi le porte.
Su outlook, prendi un e-mail, proprietà, dettagli e vedi l'header.
Ciao.

[liolucas]

Il netstat lo devo fare dal server o dal pc in locale perchè se è così ottengo una cosa del genere:

Connessioni attive

Proto Indirizzo locale Indirizzo remoto
TCP 0.0.0.0:1026 0.0.0.0:0
TCP 0.0.0.0:1157 0.0.0.0:0
TCP 0.0.0.0:135 0.0.0.0:0
TCP 0.0.0.0:5000 0.0.0.0:0
TCP 62.98.208.194:1157 213.92.16.191:80
TCP 62.98.208.194:139 0.0.0.0:0
TCP 127.0.0.1:1025 0.0.0.0:0
TCP 127.0.0.1:1027 0.0.0.0:0
TCP 127.0.0.1:1029 0.0.0.0:0
UDP 0.0.0.0:6543 *:*
UDP 62.98.208.194:137 *:*
UDP 62.98.208.194:138 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:1154 *:*

ma sinceramente non riesco a decifrare la cosa????????

L'ho fatto anche dal server e ottengo una cosa simile dove come indirizzo locale c'è l'ip giusto del server seguito da una serie di numeri che dovrebbero essere le porte:

127.0.0.1:1154

però non so come fare per vedere quali sono giusto e quali no???
Mi puoi aiutare??
CIAO

[diegoctn]

Gli header.....................dammi gli header......

[liolucas]

Domani mattina (giovedì) appena arrivo in ufficio ti mando gli header.
CIAo e GRAZIE

[liolucas]

Eccoti l'header di una email:

Received: from mail.klikkacitta.it
by mail.klikkacitta.it (Merak 4.2.1) with SMTP id C0C37214
for <admin@klikkacitta.it>; Wed, 31 Jul 2002 16:29:08 +0200
Date: Wed, 31 Jul 2002 16:29:08 +0200
From: Mail Delivery Subsystem <MAILER-DAEMON@klikkacitta.it>
To: admin@klikkacitta.it
Message-Id: <754942884@mail.klikkacitta.it>
Subject: Delivery unsuccessful: Unknown recipient <mail@medalegno.it>

Cosa riesci a capire??? Vorrei capire!!!!!
CIAO

[diegoctn]

Allora: all'interno del server c'è il gestore smtp che ha degli script; sicuramente questi script hanno subito un attacco virus. In pratica per ogni e-mail che mandi o che ti arriva ne genera altre tot. Guardati gli script e aggiustali. Bisognerebbe comunque vedere il tutto dal server...........per quanto riguarda gli header nota che non ci sono server esterni............male.....molto male. Spero di esserti stato d'aiuto. Ciao.

[liolucas]

Diego con il tuo ultimo messaggio mi stai facendo preoccupare sul serio!!!
Allora come dovrei fare per vedere gli script e poi come faccio per modificarli????
Il fatto che non ci sono altri server esterni cosa comporta???
Da come dici tu è una catastrofe.
A questo punto secondo te, dammi un consiglio, non mi conviene chiamere il gestore e far vedere a loro se riescono a risolvere il problema???
Mi tocca dargli la pass. e poi modificarla successivamente.
Poi mi chiedo come ha fatto il virus ad entrare nel server????
Può dipendere da loro e quindi non sarà solo il mio ad essere infetto???
CIAO e scusa se approfitto della tua gentilezza ma sei l'unico che mi ha dato una mano.
CIAo e GRAZIE