Archivo para la categoría Servidores

Configure Exchange E-Mail Server Reverse DNS and MX Records Correctly

By 

If DNS is setup incorrectly, over time your mail server IP will be added to blacklists. Nowadays most E-Mail servers have some kind of spam protection service which in turn means that all your inbound mail will be blocked if you do happen to be listed on a spam blacklist.

In this article I will describe how to correctly configure your MX and reverse DNS records for your mail server. This article is based on an Exchange 2003/2007 server but every other messaging server will follow the same principle.

Assigning an IP address

Starting from the bottom up the first thing you need to do is assign a static external IP address to the internal private address of your mail server. You will need to apply these rules on your firewall to port forward SMTP (port 25) and NAT an external IP address to the internal address of the server.

Something that a lot of administrators forget to do or check is to set the outgoing NAT rule to use the same external IP address created for the inbound rule to the mail server. If this isn’t set, Reverse DNS will not match and in turn your mail server will be listed on blacklists. If your firewall rules are setup correctly the IP address listed on this page should be the same IP address you mapped to the internal private IP address of the mail server.

Create the MX records for your mail server

For the purpose of this example, listed below are all the details of my mail server to help you understand what you need to do.

External IP: 87.22.1.22

E-Mail Domain: domain.com

You will need to be an administrative contact for your External DNS provider for your domain to make these changes. In most cases this can be done through an online control panel through your DNS provider. Failing that on the phone or via E-Mail.

1. The first thing we need to do is create an A record to point to the external IP address mapped on your firewall to the mail server. The host A record can be called any thing but is commonly called “mail”. In our example we will create “mail.domain.com” to point to IP address “87.22.1.22”

2. Next we will create an MX record to point to the newly created A record of our mail server.

Within your DNS control panel select “add MX record”. Make sure that the host address is the root domain name in our case “domain.com”

Set the FQDN as the A record we just created which in our case is “mail.domain.com”.

The lowest property is the most preferred but in our example we will set the priority as 10.

Use NSlookup to check DNS and MX records are applied

It can take up to 48 hours for DNS to propagate but in most cases 12-24 hours. To check our DNS entries are applied and correct we can use nslookup.

1. Open a CMD prompt and type nslookup

2. Type set type=mx

3. Type the domain name which in our case is domain.com.

In our example the output should read as follows if correctly setup:

> domain.com

Non-authoritative answer:

domain.com MX preference = 10, mail exchanger = mail.domain.com

mail.domain.com internet address = 87.22.1.22

Configure Reverse DNS

Reverse DNS is used to verify that the mail server is who it says it is. The recipients mail server will do a reverse lookup to make sure that the IP address of the mail A or host record in DNS is the same as the IP address it is communicating with. Only 1 RDNS entry can be present per IP address.

To do this you will need to contact your ISP to make this entry. You will not be able to do this in your DNS control panel unless your ISP also host your DNS and give you the functionality to add your own RDNS records.

In our case we would contact our ISP and advise that we would like to create an RDNS entry for our IP address 87.22.1.22 which would resolve too mail.domain.com.

Verify Reverse DNS

Again it can take up to 48 hours for DNS to propagate but in most cases 12-24 hours. To verify that the RDNS entries have been added and are correct do the following:

1. Open a CMD prompt.

2. Type Ping -a 87.22.1.22 (This is the external IP address for your mail server. In our case we use our external IP address stated above)

If RDNS is configured correctly the following output will be shown:

C:UsersUser>ping -a 87.22.1.22

Pinging mail.domain.com [87.22.1.22] with 32 bytes of data:

SMTP Banner

Every time a mail server establishes a connection with your mail server it shows its SMTP banner. This banner must be resolvable on the internet and best practice is to have it as your mail host/A record.

Configure SMTP banner Exchange 2003

1. Open Exchange system manager.

2. Expand your administrative group (“First administrative group” by default).

3. Expand Servers.

4. Expand YourServerName.

5. Expand Protocals container.

6. Select SMTP container.

7. On the right window, right click the Default SMTP virtual Server (Or the name you set your SMTP Server) and

select Properties.

8. Select the Delivery Tab.

9. Click the Advanced button.

10. Under the Fully-qualified domain name type mail.domain.com (The A/Host record you created in DNS for your mail server)

11. Click OK and OK again to accept the changes

Configure SMTP banner Exchange 2007/2010

1. Open the Exchange management console.

2. Select the Organisation Configuration container.

3. Select Hub Transport container.

4. On the right select the Send Connectors tab.

5. Right click your send connector and select properties.

6. On the General tab under the Set the FQDN this connector will… type the A record domain name you created. Which in our case ismail.domain.com. Click OK.

7. Under the Server Configuration container click the Hub Transport container.

8. In the Right window Select the properties of the Receive Connector under Receive Connectors tab.

9. On the General tab under the Set the FQDN this connector will… type the A record domain name you created. Which in our case ismail.domain.com. Click OK

To verify these changes we can use telnet to view the output upon establishing a connection on port 25 to our mail server. Use the following steps to do this:

1. Open a CMD prompt

2. Type Telnet mail.domain.com 25.

The output you see should look something like this and contain your A record of your mail server:

220 mail.domain.com Microsoft ESMTP MAIL Service ready at Sun, 28 Feb 2

010 17:51:20 +0000

If you use an edge server or a SPAM filter appliance like a Barracuda the SMTP banner will have to be set on this device/server.

Check to see if your mail server is on spam lists and/or an open relay

A great website to use to check your MX records, RDNS, check if your mail server is an open relay and check to see if you are listed on spam lists is www.mxtoolbox.com. This is a great site and one to keep in your favourites.

Following these guide lines will successfully and correctly configure mail routing to and from your mail server. The next step is too secure and ensure your mail server is not an open relay. I will be writing a separate article dedicated to this in the near future.

If you would prefer to not experience the stress in looking after and maintaining an Exchange server environment you may choose a hosted exchange server solution instead.

Mike Collins has over 10 years experience in computing and is a senior IT Consultant at Sphere IT Consulting

Article Source: http://EzineArticles.com/?expert=Mike_S_Collins

1 comentario

HD10K Upgrade

Avances please de

estatus de la migracion

ventajas de la nueva version

plan de capacitacion de la gente

responsables del mantenimiento

Hay un sitio web Hyper completo sobre el tema

Es necesario que Omar y una persona del HD se vuelvan expertos en HD10K y lo mismo en NOC

Capaces de Mantener-Optimizar y Capacitar

Deja un comentario

Asterisk – Solo por VPN

Para evitar problemas de seguridad el acceso al asterisks se debe de hacer por VPN

Max

 

Deja un comentario

Pricing DNS = Costo NIC + Servidores DNS + Administracion + Mantenimiento + Redundancia

Un Nombre de dominio representa un identificador común a un grupo de computadoras o equipos conectados a la red. Son una forma simple de dirección de Internet diseñados para permitir a los usuarios localizar de manera fácil sitios de Internet.

Un DNS, Domain Name Server, se refiere a él o los equipos de cómputo que forman parte del Domain Name System y que albergan la información y procesos para el establecimiento de las correspondencias entre Nombres de Dominio y Direcciones IP para una o varias redes que se conectan a Internet.

Cada país cuenta con un organismo de registro de DNS que es el NIC. NIC México es la División de Network Information Center México, S.C., encargada de los servicios y atención para los usuarios finales relacionados con la administración de Nombres de Dominio y servicios adicionales. Además, administra los nombres de dominio territoriales .MX (Registry.MX).

Les recordamos que al querer contar con un DNS, (se necesita ante todo tener un Website), inscribirse ante NIC.com, e ir pagando los derechos. El siguiente procedimiento permite contar con servidores configurados para que la información de NIC.com coincida con la información del website y así lograr tener un nivel de redundancia significativo.

Cuando un cliente paga por ejemplo 150 $ USD para la gestión de su DNS por parte de Keptos, solamente 15 o 20 $ representan los derechos. La diferencia sirve para que Keptos configure y mantenga el registro en sus 3 Servidores de DNS.

Pricing DNS = Costo NIC + Servidores DNS + Administracion + Mantenimiento + Redundancia

Deja un comentario

Agilizar la consulta de varias paginas de internet al mismo tiempo.

Abrir un explorador de internet

  • dirigirse a herramientas
  • opciones de internet
  • pestaña general
  • pagina principal

 Copiar todas las paginas de tu interes que deseas se abran a la mismo tiempo, ejemplo:

net.keptos.net, www.logmein.com, monitor.keptos.com, hd10k.keptos.net/glpi

Escribir todos las paginas que desea se abran al mismo tiempo cada vez que se ejecute internet.

Ejemplo;

Deja un comentario

Compactar/Eliminar el log file de SQL 2005

Introduction

SQL Server 2005 is quite different from SQL Server 2000. To truncate log file is one thing which is different from SQL Server 2000. In SQL Server 2000, you just use Shrink to whatever file size you like. In SQL Server 2005, sometimes I cannot shrink the log file at all.

Here I want to describe some tricks to truncate log file for a database in SQL Server 2005. The work environment is Microsoft SQL Server Management Studio.

I. Shrink the Log File Size at the Right Time

I found out this trick:

Immediately after I use the SSIS package or Import the data to the database (highlight the database->Tasks->Import data …), or Export the data from the database (highlight the database->Tasks->Export data …), I can shrink the log file to the desired size, for example, 1MB. That is, highlight the database->Tasks->Shrink->Files , set the file size, say, 1MB.

Then, click OK and you are done.

II. Eliminate the Log File Completely

Sometimes, we just do not need the big log file. For example, I have a 40GB log file. I am sure I do not need this log file and want to get rid of it completely to free up the hard drive space. The logic is:

  1. Detach the database
  2. Rename the log file
  3. Attach the database without the log file
  4. Delete the log file

Let’s say, the database name is testDev. In the SQL Server Management Studio,

  1. Highlight the database-> Tasks->Detach..-> Click OK
  2. Go to log file folder -> rename the testDev_log.ldf to be like testDev_log-aa.ldf
  3. Highlight Databases->Attach…-> Click Add -> add the database testDev, highlight the log file and click the ‘Remove’ button. This means you only attach testDev.mdf
  4. After this is done, you can verify the contents of the attached database and then delete the log file

This way we can safely delete the log file and free up the space.

If you think this is very helpful, please leave your comments online. If you have any questions or suggestions, please email me at hong_wei_li@yahoo.com.

1 comentario

Telnet Test – A Great Troubleshooting Tool & Technique

Telnet Test – A Great Troubleshooting Tool & Technique

Oftentimes it is very helpful to remove your mail server from the equation to see if there is an underlying network / reputation problem blocking mail flow. Here’s how you can manually send a test message using the telnet command built into every operating system. You’ll need to determine the name or address of your recipeints mail server. You can do this by looking up their MX record at http://mxtoolbox.com. In my example the MX record is a1.mx-route.com. Your commands are in bold below and the responses I got are in italic. Be careful, on Windows if you typo you cannot backspace and correct yourself. Just hit enter and retype the entire command.

telnet a1.mx-route.com 25
Trying 208.123.79.41…
Connected to a1.mx-route.com (208.123.79.41).
Escape character is ‘^]’.
220 a1-1.mx-route.com ESMTP

helo mxtoolbox.com
250 a1-1.mx-route.com
mail from: <peter@mxtoolbox.com>
250 sender <peter@mxtoolbox.com> ok
rcpt to: <support@mxtoolbox.com>
250 recipient <support@mxtoolbox.com> ok
data
354 go ahead
Subject: Test Message
This is a test message.
.

250 ok:  Message 156715331 accepted
quit
221 a1-1.mx-route.com
Connection closed by foreign host.

Here you can see that the sender, recipient and message were accepted by the 250 responses from the recieving mail server. If there are problems you will see them reflected with 4xx or 5xx responses that can be very helpful for figuring out the problem.

Deja un comentario

Estadísticas de inseguridad en Elastix (México)

Christian Cabrera marzo 09, 2011 Sin categoría View Comments

 

Hoy decidí realizar un estudio sobre las vulnerabilidades que sería capaz de encontrar en un entorno como Elastix en México. Me puse mi sombrero blanco y decidí escanear todas las posibles redes del país y buscar cuantos equipos utilizan la distribución antes mencionada (al menos las visibles en el puerto TCP 443), y los resultados fueron alarmantes. Aquí algunas estadísticas:

25.4 millones de hosts escaneados
69 mil tienen el puerto 443 abierto
467 equipos eran Elastix

Aclaro que esto no quiere decir que estos sean todos los equipos Elastix en México. Esto quiere decir que en una noche cualquiera fui capaz de encontrar 467 equipos visibles abiertamente en internet, los demás están tras algún firewall y son invisibles al exterior (¡bien!).

Ahora, para los números del terror:

  • 287 tienen algún tipo de dato “secreto” que se puede obtener fácilmente (contraseña de FreePBX, contraseña de Elastix, contraseñas de extensiones)
  • los mismos 287 tienen el puerto SIP abierto
  • 261 tenían algún tipo de contraseña default para FreePBX
  • 26 aún tenían la contraseña de “palosanto” para Elastix
  • 31 usan la misma contraseña en FreePBX que en Elastix
  • 42 aún usan FreePBX 2.5.x que muestra la contraseña de administrador en texto plano

Y quizá la más sobresaliente:

  • 197 usan alguna distribución de Elastix suficientemente vieja que permite descargar el archivo de batch extensions, entregándote el archivo que nombra todas las extensiones del sistema con sus respectivas contraseñas, dando un total de ¡8,300 extensiones disponibles para hacer llamadas en Elastix ajenos!

Esto quiere decir que aún con una tasa de fallo del 50%, tengo 4,150 de posibles extensiones desde las cuales se pueden sacar llamadas sin pagar un solo centavo, ocasionando tráfico VoIP que en pocas horas se convierte en facturas millonarias de teléfono.

Y si creen que exagero, échenle cuentas:

  • Supongan que de los 197 servidores visibles, al menos 170 tienen algún tipo de interfaz FXO o E1
  • Supongan que en una sesión de ataque promedio, puedo cursar llamadas por el mismo equipo (por la noche) durante unas 4 horas
  • Supongamos que promediando la cantidad de canales de E1 y de puertos FXO, puedo cursar 3 llamadas simultáneas por servidor

Esto me da un total de 4 horas * 60 minutos * 3 llamadas simultáneas * 170 servidores = 122,400 minutos de tráfico. Si el destino costara $7/min, hablamos de un total facturado de $856,800, ¡en unas horas!

Y claro que este es el espectro conservador: conozco casos de 2a persona que han tenido facturaciones de $24,000 en una sola pasada. Hagan números, y fácilmente comprenderán por que esto del robo de VoIP está tan de moda y resulta tan redituable.

Obviamente si no quieren convertirse en amigos de lo ajeno, sigan las ya super conocidas medidas de seguridad para cualquier entorno Asterisk:

  1. Siempre cambien las contraseñas default
  2. Tampoco usen palabras de diccionario como contraseña
  3. No den acceso desde el exterior si no se necesita. Esto aplica a los puertos UDP 5060 y TCP 22, 443 (los más comunes)
  4. User el permit deny dentro de Asterisk para limitar que IPs se registran en cada extensión.
  5. No usen contraseñas y passwords iguales (user:100 pass:100)
  6. Actualicen sus distribuciones a la más reciente versión
  7. Limiten la cantidad de llamadas simultáneas por extensión (¿Por qué razón Juan Pérez haría 20 llamadas a la vez?)
  8. Rechazen malas autenticaciones sin dar más detalles (alwaysauthreject=yes) en sip.conf
  9. Firewall firewall firewall
  10. Usen fail2ban para defenderse de ataques de fuerza bruta
  11. Autentiquen al usuario, no solo al teléfono (usen contraseñas post-marcado)
  12. Nieguen llamadas anónimas provenientes del exterior
  13. Definan planes de marcación limitados (ojo con el dialplan injection)

Recuerden que Asterisk/Elastix como tal son bastante seguros. Es el administrador el que los hace inseguros al obviar cualquier de estos pasos sugeridos.

Suerte, y…  ¡aseguren sus equipos!

 

1 comentario

DNS – Checkalos bien !

ZoneCheck: keptos.com

Zone information

Zone keptos.com
Primary julien.gsint.com 201.116.0.82
Secondary jean.gsint.com 200.76.105.97
Secondary victor.gsint.com 201.116.0.83

Test results

—- warning —-

nameserver IP reverse
w: Can’t find reverse for the nameserver IP address
  • victor.gsint.com/201.116.0.83
nameserver IP reverse matching nameserver name
w: Reverse for the nameserver IP address doesn’t match
  • victor.gsint.com/201.116.0.83
  • jean.gsint.com/200.76.105.97
loopback delegation
w: [TEST loopback delegation]: domain doesn’t exist: (SOA 0.0.127.in-addr.arpa)
  • victor.gsint.com/201.116.0.83
root-servers addresses identical to ICANN
w: [TEST root-servers addresses identical to ICANN]: DNS Timeout
  • victor.gsint.com/201.116.0.83
domain of the hostmaster email is not an open relay
w: [TEST domain of the hostmaster email is not an open relay]: Connection refused – connect(2)
  • generic

—- fatal —-

can deliver email to hostmaster
f: [TEST can deliver email to hostmaster]: Connection refused – connect(2)
  • generic

Final status

FAILURE (and 6 warning(s))

 

Deja un comentario

Respaldos – No compres problemas !

No compres problemas !

 

En los departamentos de informatica repetidas veces encontramos que los respaldos no sirven. Muchas veces las razones son las siguientes:
– Cintas insuficientes
– Plan de rotación inexistente
– Fecha de caducidad pasada
– Equipo de respaldo fallando
– Respaldos a discos
– Pruebas de respaldo inexistentes.

En corto
A) Si el cliente tiene unos de esos problemas notificarlo por escrito para que la responsabilidad sea suya.
B) Tener un plan de rotacion
C) Hacer pruebas de restauracion

Deja un comentario

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.