Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Brief von Provider Mailserver versende SPAM

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

20.02.2008, aktualisiert 21.02.2008, 4357 Aufrufe, 5 Kommentare

Hey Leute

Habe ein Problem bei einem Kunden:

Diese bekamen einen Brief vom ISP, dass der Mailserver SPAM versende.
Die ziehen in Betracht, dass Open Relay aktiv ist.

Das glaube ich nicht, habe jedoch in der Warteschlange vom Exchange einige Mails gefunden, von denen der Absender nicht in der Firma arbeitet...

Wie kann ich herausfinden, ob mein Exchange unsicher ist?

Vielen Dank für Eure Ideen
Relesys
Mitglied: compispezi
20.02.2008 um 18:02 Uhr
Hi,

gugstu

http://www.msxfaq.de/internet/relaytest.htm

dort stehten einige Tipps wie Du deinen Exchange testen kannst.

Wenn Du dort feststellst, das dein Exchange ein Relay darstellt kannst Du dies im Exchange ausschalten (ist eigentlich standardmäßig aus). Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen. Der Gdata Mailgateway bsw. ist per default ein Mailrelay den man erst darauf aufmerksam machen muß, das er keine Fremden Mails verschickt.

Wenn der Test feststellt das kein Relay offen ist, mußt Du die Rechner im Netz checken.
Ein verseuchter Rechner kann in einem Botnet hängen wo er als Spamschleuder mißbraucht wird.

Gruß
Helmut
Bitte warten ..
Mitglied: relesys
21.02.2008 um 12:00 Uhr
Hey

Danke für die Tipps. Der Automatische Mailrelay-Test sagt, dass Exchange sicher ist.

Relay test result
All tests performed, no relays accepted.

Also, kann es nur noch an einem Client liegen oder an dem:

"Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen."
--> Versteh das nicht ganz. Wie kann ich das bei Exchange kontrollieren.

Falls es ein Client wäre: Wie finde ich am besten raus, welcher?

Grüsse Relesys
Bitte warten ..
Mitglied: compispezi
21.02.2008 um 12:39 Uhr
Hi

"Wenn der Relay ausgeschaltet ist,
deine Exchange aber trotzdem als Relay
mißbraucht wird kann dies auch an einen
falsch konfigurierten Mailgateway
liegen."
--> Versteh das nicht ganz. Wie kann ich
das bei Exchange kontrollieren.

Ok. Verschiedene Mailgateways - z.B.: Antivirenprogramme, Spamfilter oder ähnliche Programme klinken sich als SMTP Relay in deine Exchangelandschaft ein.

So ist z.B. der GDATA Mailgateway (Spam und Virenfilter, Bestandteil von AVK Enterprise) nur dann funktionabel wenn er den Standard SMTP Verkehr überwachen kann. Dies bedeutet Exchange bekommt für SMTP einen neuen Port zugeteilt. Den Port 25 überwacht dann der G-DATA. Im Mailgateway gibt es eine Option wo man einstellen kann, das der Mailgateway nur Mails der eigenen Domain relayen darf. Wenn man hier aber nichts einträgt ist der Server fortan ein offener Relay und es dauert min. 30 minuten bis er zum ersten mal missbraucht wird.

Da der Relaytest aber ein negatives Ergebnis gebracht hat, kannst Du dies ausschließen.

Falls es ein Client wäre: Wie finde ich
am besten raus, welcher?

Da du in der Warteschlage des Exchange verdächtige Mails gefunden hast, gib doch diese mal in Extras -> Nachrichtenstatus ein.

Good Luck
Helmut
Bitte warten ..
Mitglied: relesys
21.02.2008 um 14:17 Uhr
Hey

Super, danke für die Infos!

Hmm, die Emails sind nun nicht mehr in der Warteschlange. Also gestern hatte ich noch 63 Mails dort drin. Nun leider keine mehr (ausser die vom System).

Aber ich weiss noch, all die Mails stammten von zwei Personen. Die eine ist die Sekretärin des Kunden, der andere ist eine Bank als absender... Da diese Bank aber niemandem etwas sagt, denke ich, dass diese Mails das Problem darstellten.

Nun, es ist aber nicht möglich, dass jemand den Exchange Server missbraucht, wenn er kein Relay macht? Also ist am wahrscheinlichsten, dass irgend wo ein Virus oder ähnlich auf einem Clientcomputer ist, oder?

Danke für die Hilfe
Grüsse Relesys
Bitte warten ..
Mitglied: compispezi
21.02.2008 um 14:33 Uhr
Hi.

Nun, es ist aber nicht möglich, dass
jemand den Exchange Server missbraucht, wenn
er kein Relay macht?

Das hast Du ja getestet.


Also ist am
wahrscheinlichsten, dass irgend wo ein Virus
oder ähnlich auf einem Clientcomputer
ist, oder?

Darauf würde ich jetzt mal tippen

Virenscan - am besten von Boot CD, sofern dein AV sowas erstellen kann - am Rechner der Secretärin. Dann noch mit Spyware Tester drüber.

Gruß
Helmut
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
SPAM Eingrenzung Zimbra Mailserver
gelöst Frage von m.reegerErkennung und -Abwehr7 Kommentare

Hallo liebe Admins, ich betreibe privat einen Zimbra (7.11 Open Source) E-Mailserver auf Ubuntu 16.04 Basis. Der Server ist ...

E-Mail

Mails von Mailserver werden als SPAM eingestuft

Frage von ClepToManixE-Mail13 Kommentare

Hallo, ich habe mir auf meinem Ubuntu einen Mailserver installiert. Leider stelle ich fest, dass alle meine Mails( egal ...

Groupware

Newsletter Mails vom Webserver oder Mailserver versenden?

Frage von LakatuschGroupware10 Kommentare

Hi zusammen, ich denke die Frage ist relativ eindeutig. Ich besitze zwei Server: - reiner Zimbra Mailserver - Nginx ...

Erkennung und -Abwehr

SPAM von uns oder nicht?

Frage von dafdagErkennung und -Abwehr3 Kommentare

Hallo zusammen, ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 1 TagRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1020 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte16 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...

Windows Server
Remote Desktop Services User Profile Disk - DFS
Frage von einzelkindWindows Server16 Kommentare

Hallo Miteinander, ich richte gerade eine neue RDS Farm auf Basis von Windows Server 2016 ein. Von Server 2012 ...