Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Client sendet Spam über Exchange, Virus?!?!

Mitglied: Rapante90

Rapante90 (Level 1) - Jetzt verbinden

03.04.2008, aktualisiert 16:30 Uhr, 9975 Aufrufe, 4 Kommentare

Hallo zusammen
Ich habe Folgendes Problem.
Bei uns bekommen mehrere Clients Spam Emails bzw. den bericht, dass die Email nicht zugestellt werden konnte.
Das komische daren ist, dass die nur ein EINER benutzergruppe auftritt.
Bin mir fast sicher, dass ein Virus dafür verantwortlich ist, allerdings sind alle Rechner mit Trend Micro überwacht und der Panda Online Scan hat ebenfalls nichts entdeckt.
Die Nachricht, die die Cleints bekommen sieht folgender maßen aus.


Ihre Nachricht hat einige oder alle Empfänger nicht erreicht.

Betreff: bd53fc4b62.eb5b92's discount.Cheapest Vyagra Cyalis Online.
Gesendet am: 26.03.2008 18:29

Folgende Empfänger konnten nicht erreicht werden:

bd53fc4b62.eb5b92@adler.ch am 27.03.2008 10:17
Das E-Mail-Konto ist in der Organisation, an die diese Nachricht gesendet wurde, nicht vorhanden. Überprüfen Sie die E-Mail-Adresse, oder setzen Sie sich direkt mit dem Empfänger in Verbindung, um die richtige E-Mail-Adresse herauszufinden.
<mail.adler.ch #5.1.1>

Ist das ein bekanntes Problem?
Danke im Vorraus Gruß Neinhaus
Mitglied: 63586
03.04.2008 um 11:27 Uhr
Moin,

scheint so, daß Spammer die E-MAil-Addy als Absender angeben.

Ist die Betroffene Gruppe von extern über diese E-MAil-Addy erreichbar?

Dann scheint es nicht von eurem Server verschickt zu werden.

Gruß alki75
Bitte warten ..
Mitglied: StefanKittel
03.04.2008 um 11:27 Uhr
Hallo,

das Problem kann 2 Ursachen haben
a) Ihr bekommt nur von Außen diesen NDR da Jemand Eure Email-Adresse als Absender mißbraucht hat
b) Ist Euer Server direkt per SMTP ans Internet angeschlossen?
Exchange nimmt bekanntermaßen Mails entgegen von denen er eigentlich wissen müßte das er dieser gar nicht zustellen kann/soll/darf.

Hier sieht man den Effekt
http://www.abuse.net/relay.html

Stefan
Bitte warten ..
Mitglied: Dani
03.04.2008 um 14:59 Uhr
Hallo,
schau mal die Beiträge der letzten 48h an. Dort haben wir das Thema indirekt schon angesprochen.


Grüße
Dani
Bitte warten ..
Mitglied: Rapante90
03.04.2008 um 16:30 Uhr
Danke für die schnelle Antowort.
Es scheint ein internes Problem zu sein, da der GFI mail Essentials Monitor keinerlei komische Emails aufweisst.
Wir sind direkt über SMTP mit dem Internet verbunden.
Habe auf einem Rechner den Virus trj/cumiz gefunden.

Das ist der Hijack This Log des infizierten Rechners.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:06, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\windows\system32\ipf.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
D:\Programme\HP\HP UT\bin\hppusg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Citrix\ICA Client\pnagent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\userinit.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\000017F9AC652F50\LaunchPad.exe
I:\HiJackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] D:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ifp] c:\windows\system32\ipf.exe
O4 - HKLM\..\Run: [HP Software Update] "D:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "D:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HPUsageTracking] D:\Programme\HP\HP UT\bin\hppusg.exe "D:\Programme\HP\HP UT\"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Programme\Citrix\ICA Client\pnagent.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MEM.local
O17 - HKLM\Software\..\Telephony: DomainName = MEM.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MEM.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MEM.local
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3832 bytes

Falls jemanden etwas auffällt bitte melden.
Und danke für die schnelle Antwort ;)
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2003 SMTP Connector sendet SPAM
Frage von Philbo69Exchange Server11 Kommentare

Hallo zusammen, ich habe ein Problem das über den SMTP Connector von einem SBS 2003 mit Exchange Spammail versendet ...

Exchange Server

Exchange 2007 sendet keine Abwesenheitsnachricht

Frage von manuelwExchange Server3 Kommentare

Hallo, ich habe derzeit das Problem, dass auf meinem SBS2008 mit Exchange 2007 keine Abwesenheitsnachrichten versendet werden. Eingestellt habe ...

Exchange Server

Exchange Sendet keine Mail mehr an den Exchange

Frage von fundave3Exchange Server2 Kommentare

Guten Morgen, Ich habe heute morgen mal wieder einen Dauergast, der momentan nur Probleme macht. Ein Exchange 2013. Ich ...

Exchange Server

Exchange Server 2013 sendet nicht

Frage von NiklasRohrerExchange Server2 Kommentare

Hallo! Ich habe seit ein paar Tagen das Problem das mein Exchange Server 2013 weder interne, noch externe Mails ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 10 StundenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 2 TagenExchange Server8 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 3 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke43 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Netzwerke
SSH - Wieso werde ich nach VPN Verbindung rausgeschmissen?
Frage von VernoxVernaxNetzwerke10 Kommentare

Hallo, ich habe es endlich geschafft mein Handy mit einer VPN Verbindung an meinen Router anzuschließen. Nach der Login ...

Microsoft
Ist es möglich ein reines Volume C Datenbackup in eine Hyper-V VM zu konvertieren?
Frage von Frank84Microsoft10 Kommentare

Hallo zusammen, ich habe hier ein Backup vorliegen, das ausschließlich das komplette C:\ Volume eines physischen Server 2012 enthält. ...

Windows Server
Freigaben per Default nur für Domänen-Benutzer
Frage von tierwoWindows Server8 Kommentare

Hallo gibt es eine Möglichkeit, einen Server 2016 so zu konfigurieren (z.B. per GPO), dass Freigaben die erstellt werden ...