1
Exchange 2003 - offenes Relay, das keines ist...
ich komme einfach nicht weiter - vielleicht hat jemand noch eine Idee, und ich sehe einfach den "Wald vor lauter Bäumen" nicht...
Hallo Jungs und Mädls!!!
Ausgangssituation:
Exchange 2003 SP2
Absenderfilter / Empfängerfilter / Verbindungsfilter / Absendererkennungsfilter / IMF werden angewendet
Verbindungsfilter sind ca. 10 im Einsatz (Spamcop, etc)
Problem:
die Warteschlange ist voll mit Mails, die von fremden Absendern stammen und an fremde Empfänger gesandt werden!!!
Hier ein Mail inkl. Header:
darauf hin generiert mein Postmaster folgende Antwort (diese Antwort gehört nicht zur oberen Mail, was die Analyse aber nicht erschweren sollte...):
Was ich als Ursache ausschließen kann:
- Es liegt KEIN offenes Relay vor.
Dies weiss ich deshalb, da ich alles kontrolliert habe - außerdem meint auch http://verify.abuse.net/cgi-bin/relaytest -->
Relay test result
All tests performed, no relays accepted.
- die Mail stammt von keinem verseuchten System innerhalb der Organisation
Dies weiss ich deshalb, da die Versenderadresse (siehe oben: 116.203.41.64) nicht zu meiner Organisation gehört...
[eine Whois-Abfrage ergab, dass diese Adresse zu MUMBAI-MTSINDIA-IN gehört...]
was ich bisher unternommen habe:
die Postmaster-Meldungen abgedreht, was zumindest die Warteschlange verkürzt, die Absender geblockt... (das hilft aber nur, bis es ein anderer versucht...)
Ich finde einfach nicht heraus, wo die eigentliche Ursache für dieses Verhalten liegt...
FRAGE:
Wie finde ich heraus, mit welcher Kennung sich der Versender gegenüber dem AD authentifiziert hat?
Ich habe schon testhalber das Logging aktiviert, dieses File ist aber binnen Sekunden so groß, dass der Texteditor aufgibt beim öffnen....
vielleicht weiss ja jemand von Euch Rat, ich wäre für jede Idee dankbar!!!
lg
schöne Woche
Edi
Ausgangssituation:
Exchange 2003 SP2
Absenderfilter / Empfängerfilter / Verbindungsfilter / Absendererkennungsfilter / IMF werden angewendet
Verbindungsfilter sind ca. 10 im Einsatz (Spamcop, etc)
Problem:
die Warteschlange ist voll mit Mails, die von fremden Absendern stammen und an fremde Empfänger gesandt werden!!!
Hier ein Mail inkl. Header:
Received: from User ([116.203.41.64] RDNS failed) by mail.hak-neusiedl.at with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 7 Aug 2011 22:27:30 +0200
Reply-To: <mrsdemafahim6@yahoo.com.hk>
From: "Mrs. Dema Fahim"<mrsdema5@yahoo.com.hk>
Subject: PLEASE REPLY FAST
Date: Mon, 8 Aug 2011 01:58:01 +0530
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 110807-1, 08/08/2011), Outbound message
X-Antivirus-Status: Clean
Bcc:
Return-Path: mrsdema5@yahoo.com.hk
Message-ID: <BHAKSVR2ZtWUW5I8ePB0000dbfd@mail.hak-neusiedl.at>
X-OriginalArrivalTime: 07 Aug 2011 20:27:31.0048 (UTC) FILETIME=[6EB44E80:01CC5540]
<HTML><HEAD><TITLE></TITLE>darauf hin generiert mein Postmaster folgende Antwort (diese Antwort gehört nicht zur oberen Mail, was die Analyse aber nicht erschweren sollte...):
From: postmaster@akwi.at
To: mrsdema5@yahoo.com.hk
Date: Mon, 8 Aug 2011 11:01:25 +0200
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied"
X-DSNContext: 7ac7e7f9 - 374 - 00000004 - C00402D1
Message-ID: <cLebRVuDj000c14c5@mail.hak-neusiedl.at>
Subject: Benachrichtigung
zum
=?unicode-1-1-utf-7?Q?+ANw-bermittlungsstatus
(Verz+APY-gerung)?=
This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied
Content-Type: text/plain; charset=unicode-1-1-utf-7
Dies ist eine automatisch erstellte Benachrichtigung +APw-ber den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE M+ANw-SSEN DIE NACHRICHT NICHT ERNEUT SENDEN.
+ANw-bermittlung an folgende Empf+AOQ-nger wurde verz+APY-gert.
.... hier kommen die empfänger, an die die mail nicht zugestellt werden konnte ....
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied
Content-Type: message/delivery-status
Reporting-MTA: dns;mail.hak-neusiedl.at
Received-From-MTA: dns;User
Arrival-Date: Sun, 7 Aug 2011 22:50:22 +0200
Final-Recipient: rfc822;syz@blablabla.com
Action: delayed
Status: 4.4.7
Will-Retry-Until: Mon, 8 Aug 2011 00:50:24 +0200
... hier kommt für jeden empfänger ein eintrag wie oben
Final-Recipient: rfc822;syz@blablabla.com
Action: delayed
Status: 4.4.7
Will-Retry-Until: Mon, 8 Aug 2011 00:50:24 +0200
........
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied
Content-Type: message/rfc822
Received: from User ([116.203.41.64] RDNS failed) by mail.hak-neusiedl.at with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 7 Aug 2011 22:50:22 +0200
Reply-To: <mrsdemafahim6@yahoo.com.hk>
From: "Mrs. Dema Fahim"<mrsdema5@yahoo.com.hk>
Subject: PLEASE REPLY FAST
Date: Mon, 8 Aug 2011 02:20:55 +0530
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 110807-1, 08/08/2011), Outbound message
X-Antivirus-Status: Clean
Bcc:
Return-Path: mrsdema5@yahoo.com.hk
Message-ID: <BHAKSVR2RkUufQ4eaU30000de4b@mail.hak-neusiedl.at>
X-OriginalArrivalTime: 07 Aug 2011 20:50:23.0069 (UTC) FILETIME=[A07E18D0:01CC5543]
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
FROM: MRS. DEMA FAHIM</DIV>
<DIV>
REMITTANCE DIRECTOR;</DIV>
<DIV>
Arab National Bank; Saudi Arabia.</DIV>
<DIV>
RIYADH - KINGDOM OF SAUDI ARABIA.</DIV>
<DIV>
</DIV>
<DIV>
</DIV>
<DIV>
E-mail contact: mrsdema10@yahoo.de</DIV>
<DIV>
</DIV>Was ich als Ursache ausschließen kann:
- Es liegt KEIN offenes Relay vor.
Dies weiss ich deshalb, da ich alles kontrolliert habe - außerdem meint auch http://verify.abuse.net/cgi-bin/relaytest -->
Relay test result
All tests performed, no relays accepted.
- die Mail stammt von keinem verseuchten System innerhalb der Organisation
Dies weiss ich deshalb, da die Versenderadresse (siehe oben: 116.203.41.64) nicht zu meiner Organisation gehört...
[eine Whois-Abfrage ergab, dass diese Adresse zu MUMBAI-MTSINDIA-IN gehört...]
was ich bisher unternommen habe:
die Postmaster-Meldungen abgedreht, was zumindest die Warteschlange verkürzt, die Absender geblockt... (das hilft aber nur, bis es ein anderer versucht...)
Ich finde einfach nicht heraus, wo die eigentliche Ursache für dieses Verhalten liegt...
FRAGE:
Wie finde ich heraus, mit welcher Kennung sich der Versender gegenüber dem AD authentifiziert hat?
Ich habe schon testhalber das Logging aktiviert, dieses File ist aber binnen Sekunden so groß, dass der Texteditor aufgibt beim öffnen....
vielleicht weiss ja jemand von Euch Rat, ich wäre für jede Idee dankbar!!!
lg
schöne Woche
Edi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171097
Url: https://administrator.de/contentid/171097
Printed on: April 23, 2024 at 19:04 o'clock
1 Comment
OK, klassisches Montagsproblem!
Es wurde ein User im AD eingerichtet (vor Jahren und NICHT VON MIR
), der einen einfachen Username (sprich ein englisches Wort) und ein mutmasslich einfach zu erratendes Passwort hatte...
jetzt muss dieser User mitsamt der Adresse des Exchange auf einer Liste-für-böse-Buben gelandet sein...
der Rest steht oben....
der betreffende User ist natürlich in der Ereignisanzeige verdächtig oft aufgetaucht unter ID 538 bzw. 540 im Zweig "Sicherheit"...
hätte mir selbst einfallen müssen - wenn nicht Montag wäre
schöne Woche nochmals,
lg
Edi
Es wurde ein User im AD eingerichtet (vor Jahren und NICHT VON MIR
), der einen einfachen Username (sprich ein englisches Wort) und ein mutmasslich einfach zu erratendes Passwort hatte...jetzt muss dieser User mitsamt der Adresse des Exchange auf einer Liste-für-böse-Buben gelandet sein...
der Rest steht oben....
der betreffende User ist natürlich in der Ereignisanzeige verdächtig oft aufgetaucht unter ID 538 bzw. 540 im Zweig "Sicherheit"...
hätte mir selbst einfallen müssen - wenn nicht Montag wäre
schöne Woche nochmals,
lg
Edi
