Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 07 NOV 2013 11:38:32 failed smtp login from IPAddresse

Mitglied: Alchimedes

Alchimedes (Level 2) - Jetzt verbinden

07.11.2013 um 20:19 Uhr, 2063 Aufrufe, 8 Kommentare

Hallo Kollegen und Kolleginnen ,

kurz die Problembeschreibung:

auf unseren Mailserver wird ueber smtp versucht sich Zugriff zu verschaffen, von einer IP aus Dubai, ohne Authentifizierung .
Nach 3maligen versuch blockt der Mailserver fuer 10 min die IP, danach erfolgt der naechste Versuch das geht schon seit
1/2 Tag so.

Ich hatte dann die Faxen dicke und hab die IP auf der Firewall geblockt.
Dann war ruhe .... dachte ich...
Anruf aus unserem Dubai Office " hier geht nichts mehr..."
Huch hab ich das Dubai Office ausgesperrt ? Die Dubaimitarbeiter haben alle einen Mailaccount von denen kann diese unauthentifizierte Anfrage eigentlich nicht kommen.

Jedoch benutzen Sie ein "shared office" teilen sich also ein Buerogebaeude , mit anderen Firmen.

Ein whois auf die IP ergab dann das es sich um "Emirates Telecomunication Corporate" handelt, ein nmap ergab nur das saemtliche ports filtered Status haben.
Also kein Open Relay e.t.c.
Ich hab dann die Rechner aus Dubai ueberprueft und keine Anhaltspunkte dafuer gefunden das diese in irgendeiner Form kompromittiert sein koennten.

Ergo: Irgendjemand aus dem Gebaeude / oder vielleicht der Admin hinter dem Router ?? versucht sich bei uns einzuloggen b.z.w ein Rechner dort wird missbraucht.
Hab auch in den Firewall logs gesehen das auch andere IP Adressen aus unserem Netzwerk gescannt wurden, jedoch von der Firewall verworfen.
Aber smtp ist auf , daher versucht der Penner das ueber smtp.

Hab dann an den Dubaiprovider geschrieben, aber wie man sich denken kann interessiert die das nicht wirklich.

Meine Idee waere jetzt hinter die Firewall von denen zu kommen um den Stoerenfried ausfindig zu machen, aber so ganz legal ist das dann auch nicht.
Obwohl, hier kriegt man ja keinen Kartoffelsack ueber den Kopp...

Frage : Was also tun ?


Gruss

Mitglied: certifiedit.net
07.11.2013 um 20:40 Uhr
Hallo,

ganz einfach: Firewall ins Shared Office - VPN - Externe Zugriffe aus dem Bereich blocken. Fertig.

Wenn ihr eine Sophos UTM nutzt noch einfacher eine RED ;)

LG,

Christian
Bitte warten ..
Mitglied: Alchimedes
07.11.2013, aktualisiert um 21:09 Uhr
Hallo certifiedit ,

tatseachlich hat unser Dubai Office eine RED , und die lief im transparend Modus. Also eine IP aus unserem Netzwerk wird von denen aufgerufen
= VPN ueber RED...

Aber die mussten die abbauen da Verschluesselung ohne Erlaubnis der Koenigsfamilie ( also ordentlich schmieren... ) nicht gestattet ist.

Gruss

P.S : RED ist genial... vorkonfigurieren -> hinschicken -> anschliessen und fertig.
Bitte warten ..
Mitglied: certifiedit.net
07.11.2013 um 20:56 Uhr
Hallo Alchimedes,

sorry, mein Fehler, hätte ich bedenken müssen.

Stimmt, das Konzept ist super.

Naja ohne VPN wird es schwierig - eigener Internetanschluss geht nicht?

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
07.11.2013 um 21:41 Uhr
Zitat von Alchimedes:
Obwohl, hier kriegt man ja keinen Kartoffelsack ueber den Kopp...

Sei Dir mal da nicht so sicher.

Frage : Was also tun ?

Als erstes sicherstellen, daß da kein Dößpaddel einafch eine falsche Konfiguration auf seiner Kiste hat.

Arbeiten die Mitarbeiter in Dubai auf von euch administrierten Kisten oder fremdadministrierten Kisten? Man könnte die als "Brückenkopf" mißbrauchen, um sich da mal umzuschauen, mit der Gefahr, daß man einen ### lostreten könnte.

Für Dein Problem am sinnvollsten wäre es, die Mailabwicklung der Mitarbeiter über ein VPN abzufackeln, so daß die gar nicht von außen mit Authentifikation.

Stell außerdem die smtp-geschichte auf SSL-Zertifikate um und gut is.

lks
Bitte warten ..
Mitglied: Alchimedes
07.11.2013 um 21:53 Uhr
Hey LKS ,

die Kisten administriere ich , die Rechner hab ich auch ueberprueft. Was die VPN angeht ist die Situation so wie oben beschrieben.
Normalerweise merken die das nicht das da ne vpn luebbt. Aber irgendein Trottel hat da wohl geredet oder anderweitig ist es aufgefallen.
Die Behoerde kam und konfiszierten die Redbox.... ( Weil keine Genehmigung... )

Werde morgen mal schauen ob da noch loginversuche laufen.. Weil Freitags ist dort Frei wegen Gebet... Unsere Rechner dort sind dann alle runtergefahren.
Sollten also weitere Versuche geloggt werden weiss ich definitiv das ist nicht von uns.


Gruss
Bitte warten ..
Mitglied: Alchimedes
19.11.2013 um 21:02 Uhr
So Aktualisierung ...

muesste jetzt eigentlich in die Rubrik LoL.

Die AE-Behoerde haben die RED-Box konfisziert, jedoch war das nicht die RED BOX sondern der Rotfarbende Router...
Ich brech grad vor lachen zusammen, und wir wundern uns wieso wir seit 2 Wochen nicht mehr vom Dubaioffice genervt werden.

Die haben die gesamte Bueroetage abgeklemmt... < HILFE ich krieg keine Luft mehr ist das Geil.

Oh man...
Bitte warten ..
Mitglied: certifiedit.net
19.11.2013 um 21:05 Uhr
Dann beantrage das doch mal :D Nice ;)
Bitte warten ..
Mitglied: Lochkartenstanzer
19.11.2013 um 21:58 Uhr
Zitat von Alchimedes:

Die haben die gesamte Bueroetage abgeklemmt... < HILFE ich krieg keine Luft mehr ist das Geil.


Und euer Office traut sich nicht euch zu sagen, daß sie "kein Internet" mehr haben? Oder sind das welche, die dann solange tatenlos im Büro rumsitzen, bis sie wieder Inetrnet bekommen.

lks
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2013 - SMTP Konnektor mit Authentifizierung

Frage von leon123Exchange Server3 Kommentare

Hallo zusammen, ich schreibe gerade für unsere Firma ein kleines Testprogram, das E-Mails nach außen bei Problemen versenden kann. ...

Microsoft Office

MSO 2013 - Excel langsame Zellauswahl - DirectX 11

Frage von dori.dkMicrosoft Office4 Kommentare

Hallo zusammen, nachdem ich mich im Netz nen Wolf gesucht habe bin ich zwar mit meinem Problem etwas weiter ...

Exchange Server

Exchange 2013 mit Empfangsproblemen - SMTP Error 451

Frage von sbs-newbieExchange Server1 Kommentar

Hallo zusammen, ich habe folgendes Problem, das ich auch auf diesem Forum posten möchte: In einem Netzwerk gibt es ...

Firewall

Sophos: Exchange 2013 auf SMTP Port 25 nicht erreichbar

gelöst Frage von DaPeddaFirewall15 Kommentare

Servus zusammen, ich habe folgendes Problem: von der Sophos UTM 9 ist der neue Exchange 2013 auf dem Port ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

Microsoft Office
Freitagsfrage? Excel und CSV - Import statt öffnen
gelöst Frage von KraemerMicrosoft Office7 Kommentare

Moin zusammen, entweder fallen mir heute nicht die richtigen Wörter für Google ein, oder es geht schlicht nicht. Gibt ...

Entwicklung
Batch - Überprüfung
gelöst Frage von apex.predator24Entwicklung6 Kommentare

Hallo Zusammen Gibt es eine Möglichkeit, einen Prozess im TaskManager über eine Batch-Datei zu überprüfen ob dieser läuft oder ...