Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Brief von Provider Mailserver versende SPAM

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

20.02.2008, aktualisiert 21.02.2008, 4359 Aufrufe, 5 Kommentare

Hey Leute

Habe ein Problem bei einem Kunden:

Diese bekamen einen Brief vom ISP, dass der Mailserver SPAM versende.
Die ziehen in Betracht, dass Open Relay aktiv ist.

Das glaube ich nicht, habe jedoch in der Warteschlange vom Exchange einige Mails gefunden, von denen der Absender nicht in der Firma arbeitet...

Wie kann ich herausfinden, ob mein Exchange unsicher ist?

Vielen Dank für Eure Ideen
Relesys
Mitglied: compispezi
20.02.2008 um 18:02 Uhr
Hi,

gugstu

http://www.msxfaq.de/internet/relaytest.htm

dort stehten einige Tipps wie Du deinen Exchange testen kannst.

Wenn Du dort feststellst, das dein Exchange ein Relay darstellt kannst Du dies im Exchange ausschalten (ist eigentlich standardmäßig aus). Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen. Der Gdata Mailgateway bsw. ist per default ein Mailrelay den man erst darauf aufmerksam machen muß, das er keine Fremden Mails verschickt.

Wenn der Test feststellt das kein Relay offen ist, mußt Du die Rechner im Netz checken.
Ein verseuchter Rechner kann in einem Botnet hängen wo er als Spamschleuder mißbraucht wird.

Gruß
Helmut
Bitte warten ..
Mitglied: relesys
21.02.2008 um 12:00 Uhr
Hey

Danke für die Tipps. Der Automatische Mailrelay-Test sagt, dass Exchange sicher ist.

Relay test result
All tests performed, no relays accepted.

Also, kann es nur noch an einem Client liegen oder an dem:

"Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen."
--> Versteh das nicht ganz. Wie kann ich das bei Exchange kontrollieren.

Falls es ein Client wäre: Wie finde ich am besten raus, welcher?

Grüsse Relesys
Bitte warten ..
Mitglied: compispezi
21.02.2008 um 12:39 Uhr
Hi

"Wenn der Relay ausgeschaltet ist,
deine Exchange aber trotzdem als Relay
mißbraucht wird kann dies auch an einen
falsch konfigurierten Mailgateway
liegen."
--> Versteh das nicht ganz. Wie kann ich
das bei Exchange kontrollieren.

Ok. Verschiedene Mailgateways - z.B.: Antivirenprogramme, Spamfilter oder ähnliche Programme klinken sich als SMTP Relay in deine Exchangelandschaft ein.

So ist z.B. der GDATA Mailgateway (Spam und Virenfilter, Bestandteil von AVK Enterprise) nur dann funktionabel wenn er den Standard SMTP Verkehr überwachen kann. Dies bedeutet Exchange bekommt für SMTP einen neuen Port zugeteilt. Den Port 25 überwacht dann der G-DATA. Im Mailgateway gibt es eine Option wo man einstellen kann, das der Mailgateway nur Mails der eigenen Domain relayen darf. Wenn man hier aber nichts einträgt ist der Server fortan ein offener Relay und es dauert min. 30 minuten bis er zum ersten mal missbraucht wird.

Da der Relaytest aber ein negatives Ergebnis gebracht hat, kannst Du dies ausschließen.

Falls es ein Client wäre: Wie finde ich
am besten raus, welcher?

Da du in der Warteschlage des Exchange verdächtige Mails gefunden hast, gib doch diese mal in Extras -> Nachrichtenstatus ein.

Good Luck
Helmut
Bitte warten ..
Mitglied: relesys
21.02.2008 um 14:17 Uhr
Hey

Super, danke für die Infos!

Hmm, die Emails sind nun nicht mehr in der Warteschlange. Also gestern hatte ich noch 63 Mails dort drin. Nun leider keine mehr (ausser die vom System).

Aber ich weiss noch, all die Mails stammten von zwei Personen. Die eine ist die Sekretärin des Kunden, der andere ist eine Bank als absender... Da diese Bank aber niemandem etwas sagt, denke ich, dass diese Mails das Problem darstellten.

Nun, es ist aber nicht möglich, dass jemand den Exchange Server missbraucht, wenn er kein Relay macht? Also ist am wahrscheinlichsten, dass irgend wo ein Virus oder ähnlich auf einem Clientcomputer ist, oder?

Danke für die Hilfe
Grüsse Relesys
Bitte warten ..
Mitglied: compispezi
21.02.2008 um 14:33 Uhr
Hi.

Nun, es ist aber nicht möglich, dass
jemand den Exchange Server missbraucht, wenn
er kein Relay macht?

Das hast Du ja getestet.


Also ist am
wahrscheinlichsten, dass irgend wo ein Virus
oder ähnlich auf einem Clientcomputer
ist, oder?

Darauf würde ich jetzt mal tippen

Virenscan - am besten von Boot CD, sofern dein AV sowas erstellen kann - am Rechner der Secretärin. Dann noch mit Spyware Tester drüber.

Gruß
Helmut
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
SPAM Eingrenzung Zimbra Mailserver
gelöst Frage von m.reegerErkennung und -Abwehr7 Kommentare

Hallo liebe Admins, ich betreibe privat einen Zimbra (7.11 Open Source) E-Mailserver auf Ubuntu 16.04 Basis. Der Server ist ...

E-Mail

Mails von Mailserver werden als SPAM eingestuft

Frage von ClepToManixE-Mail13 Kommentare

Hallo, ich habe mir auf meinem Ubuntu einen Mailserver installiert. Leider stelle ich fest, dass alle meine Mails( egal ...

Groupware

Newsletter Mails vom Webserver oder Mailserver versenden?

Frage von LakatuschGroupware10 Kommentare

Hi zusammen, ich denke die Frage ist relativ eindeutig. Ich besitze zwei Server: - reiner Zimbra Mailserver - Nginx ...

Erkennung und -Abwehr

SPAM von uns oder nicht?

Frage von dafdagErkennung und -Abwehr3 Kommentare

Hallo zusammen, ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 19 StundenMicrosoft

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 20 StundenSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 22 StundenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 1 TagHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen24 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1022 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple17 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

DSL, VDSL
PPPOE Einwahl über Sophos UTM und FritzBox per PPPOE Passthrough
Frage von Leo-leDSL, VDSL13 Kommentare

Hallo zusammen, vielleicht habt Ihr noch eine Idee?? Ich besitze einen 1u1 Anschluss und möchte meine UTM ASG 110 ...