5
Brief von Provider Mailserver versende SPAM
Hey Leute
Habe ein Problem bei einem Kunden:
Diese bekamen einen Brief vom ISP, dass der Mailserver SPAM versende.
Die ziehen in Betracht, dass Open Relay aktiv ist.
Das glaube ich nicht, habe jedoch in der Warteschlange vom Exchange einige Mails gefunden, von denen der Absender nicht in der Firma arbeitet...
Wie kann ich herausfinden, ob mein Exchange unsicher ist?
Vielen Dank für Eure Ideen
Relesys
Habe ein Problem bei einem Kunden:
Diese bekamen einen Brief vom ISP, dass der Mailserver SPAM versende.
Die ziehen in Betracht, dass Open Relay aktiv ist.
Das glaube ich nicht, habe jedoch in der Warteschlange vom Exchange einige Mails gefunden, von denen der Absender nicht in der Firma arbeitet...
Wie kann ich herausfinden, ob mein Exchange unsicher ist?
Vielen Dank für Eure Ideen
Relesys
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81238
Url: https://administrator.de/contentid/81238
Printed on: April 19, 2024 at 10:04 o'clock
5 Comments
Latest comment
Hi,
gugstu
http://www.msxfaq.de/internet/relaytest.htm
dort stehten einige Tipps wie Du deinen Exchange testen kannst.
Wenn Du dort feststellst, das dein Exchange ein Relay darstellt kannst Du dies im Exchange ausschalten (ist eigentlich standardmäßig aus). Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen. Der Gdata Mailgateway bsw. ist per default ein Mailrelay den man erst darauf aufmerksam machen muß, das er keine Fremden Mails verschickt.
Wenn der Test feststellt das kein Relay offen ist, mußt Du die Rechner im Netz checken.
Ein verseuchter Rechner kann in einem Botnet hängen wo er als Spamschleuder mißbraucht wird.
Gruß
Helmut
gugstu
http://www.msxfaq.de/internet/relaytest.htm
dort stehten einige Tipps wie Du deinen Exchange testen kannst.
Wenn Du dort feststellst, das dein Exchange ein Relay darstellt kannst Du dies im Exchange ausschalten (ist eigentlich standardmäßig aus). Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen. Der Gdata Mailgateway bsw. ist per default ein Mailrelay den man erst darauf aufmerksam machen muß, das er keine Fremden Mails verschickt.
Wenn der Test feststellt das kein Relay offen ist, mußt Du die Rechner im Netz checken.
Ein verseuchter Rechner kann in einem Botnet hängen wo er als Spamschleuder mißbraucht wird.
Gruß
Helmut
Hey
Danke für die Tipps. Der Automatische Mailrelay-Test sagt, dass Exchange sicher ist.
Relay test result
All tests performed, no relays accepted.
Also, kann es nur noch an einem Client liegen oder an dem:
"Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen."
--> Versteh das nicht ganz. Wie kann ich das bei Exchange kontrollieren.
Falls es ein Client wäre: Wie finde ich am besten raus, welcher?
Grüsse Relesys
Danke für die Tipps. Der Automatische Mailrelay-Test sagt, dass Exchange sicher ist.
Relay test result
All tests performed, no relays accepted.
Also, kann es nur noch an einem Client liegen oder an dem:
"Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen."
--> Versteh das nicht ganz. Wie kann ich das bei Exchange kontrollieren.
Falls es ein Client wäre: Wie finde ich am besten raus, welcher?
Grüsse Relesys
Hi
Ok. Verschiedene Mailgateways - z.B.: Antivirenprogramme, Spamfilter oder ähnliche Programme klinken sich als SMTP Relay in deine Exchangelandschaft ein.
So ist z.B. der GDATA Mailgateway (Spam und Virenfilter, Bestandteil von AVK Enterprise) nur dann funktionabel wenn er den Standard SMTP Verkehr überwachen kann. Dies bedeutet Exchange bekommt für SMTP einen neuen Port zugeteilt. Den Port 25 überwacht dann der G-DATA. Im Mailgateway gibt es eine Option wo man einstellen kann, das der Mailgateway nur Mails der eigenen Domain relayen darf. Wenn man hier aber nichts einträgt ist der Server fortan ein offener Relay und es dauert min. 30 minuten bis er zum ersten mal missbraucht wird.
Da der Relaytest aber ein negatives Ergebnis gebracht hat, kannst Du dies ausschließen.
Da du in der Warteschlage des Exchange verdächtige Mails gefunden hast, gib doch diese mal in Extras -> Nachrichtenstatus ein.
Good Luck
Helmut
"Wenn der Relay ausgeschaltet ist,
deine Exchange aber trotzdem als Relay
mißbraucht wird kann dies auch an einen
falsch konfigurierten Mailgateway
liegen."
--> Versteh das nicht ganz. Wie kann ich
das bei Exchange kontrollieren.
deine Exchange aber trotzdem als Relay
mißbraucht wird kann dies auch an einen
falsch konfigurierten Mailgateway
liegen."
--> Versteh das nicht ganz. Wie kann ich
das bei Exchange kontrollieren.
Ok. Verschiedene Mailgateways - z.B.: Antivirenprogramme, Spamfilter oder ähnliche Programme klinken sich als SMTP Relay in deine Exchangelandschaft ein.
So ist z.B. der GDATA Mailgateway (Spam und Virenfilter, Bestandteil von AVK Enterprise) nur dann funktionabel wenn er den Standard SMTP Verkehr überwachen kann. Dies bedeutet Exchange bekommt für SMTP einen neuen Port zugeteilt. Den Port 25 überwacht dann der G-DATA. Im Mailgateway gibt es eine Option wo man einstellen kann, das der Mailgateway nur Mails der eigenen Domain relayen darf. Wenn man hier aber nichts einträgt ist der Server fortan ein offener Relay und es dauert min. 30 minuten bis er zum ersten mal missbraucht wird.
Da der Relaytest aber ein negatives Ergebnis gebracht hat, kannst Du dies ausschließen.
Falls es ein Client wäre: Wie finde ich
am besten raus, welcher?
am besten raus, welcher?
Da du in der Warteschlage des Exchange verdächtige Mails gefunden hast, gib doch diese mal in Extras -> Nachrichtenstatus ein.
Good Luck
Helmut
Hey
Super, danke für die Infos!
Hmm, die Emails sind nun nicht mehr in der Warteschlange. Also gestern hatte ich noch 63 Mails dort drin. Nun leider keine mehr (ausser die vom System).
Aber ich weiss noch, all die Mails stammten von zwei Personen. Die eine ist die Sekretärin des Kunden, der andere ist eine Bank als absender... Da diese Bank aber niemandem etwas sagt, denke ich, dass diese Mails das Problem darstellten.
Nun, es ist aber nicht möglich, dass jemand den Exchange Server missbraucht, wenn er kein Relay macht? Also ist am wahrscheinlichsten, dass irgend wo ein Virus oder ähnlich auf einem Clientcomputer ist, oder?
Danke für die Hilfe
Grüsse Relesys
Super, danke für die Infos!
Hmm, die Emails sind nun nicht mehr in der Warteschlange. Also gestern hatte ich noch 63 Mails dort drin. Nun leider keine mehr (ausser die vom System).
Aber ich weiss noch, all die Mails stammten von zwei Personen. Die eine ist die Sekretärin des Kunden, der andere ist eine Bank als absender... Da diese Bank aber niemandem etwas sagt, denke ich, dass diese Mails das Problem darstellten.
Nun, es ist aber nicht möglich, dass jemand den Exchange Server missbraucht, wenn er kein Relay macht? Also ist am wahrscheinlichsten, dass irgend wo ein Virus oder ähnlich auf einem Clientcomputer ist, oder?
Danke für die Hilfe
Grüsse Relesys
Hi.
Das hast Du ja getestet.
Darauf würde ich jetzt mal tippen
Virenscan - am besten von Boot CD, sofern dein AV sowas erstellen kann - am Rechner der Secretärin. Dann noch mit Spyware Tester drüber.
Gruß
Helmut
Nun, es ist aber nicht möglich, dass
jemand den Exchange Server missbraucht, wenn
er kein Relay macht?
jemand den Exchange Server missbraucht, wenn
er kein Relay macht?
Das hast Du ja getestet.
Also ist am
wahrscheinlichsten, dass irgend wo ein Virus
oder ähnlich auf einem Clientcomputer
ist, oder?
wahrscheinlichsten, dass irgend wo ein Virus
oder ähnlich auf einem Clientcomputer
ist, oder?
Darauf würde ich jetzt mal tippen
Virenscan - am besten von Boot CD, sofern dein AV sowas erstellen kann - am Rechner der Secretärin. Dann noch mit Spyware Tester drüber.
Gruß
Helmut
