Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange 2003 - offenes Relay, das keines ist...

Mitglied: Edi.Pfisterer

Edi.Pfisterer (Level 2) - Jetzt verbinden

08.08.2011, aktualisiert 16:22 Uhr, 4084 Aufrufe, 1 Kommentar

ich komme einfach nicht weiter - vielleicht hat jemand noch eine Idee, und ich sehe einfach den "Wald vor lauter Bäumen" nicht...

Hallo Jungs und Mädls!!!

Ausgangssituation:
Exchange 2003 SP2
Absenderfilter / Empfängerfilter / Verbindungsfilter / Absendererkennungsfilter / IMF werden angewendet
Verbindungsfilter sind ca. 10 im Einsatz (Spamcop, etc)


Problem:
die Warteschlange ist voll mit Mails, die von fremden Absendern stammen und an fremde Empfänger gesandt werden!!!

Hier ein Mail inkl. Header:
01.
Received: from User ([116.203.41.64] RDNS failed) by mail.hak-neusiedl.at with Microsoft SMTPSVC(6.0.3790.3959); 
02.
	 Sun, 7 Aug 2011 22:27:30 +0200 
03.
Reply-To: <mrsdemafahim6@yahoo.com.hk> 
04.
From: "Mrs. Dema Fahim"<mrsdema5@yahoo.com.hk> 
05.
Subject: PLEASE REPLY FAST 
06.
Date: Mon, 8 Aug 2011 01:58:01 +0530 
07.
MIME-Version: 1.0 
08.
Content-Type: text/html; 
09.
	charset="Windows-1251" 
10.
Content-Transfer-Encoding: 7bit 
11.
X-Priority: 3 
12.
X-MSMail-Priority: Normal 
13.
X-Mailer: Microsoft Outlook Express 6.00.2600.0000 
14.
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 
15.
X-Antivirus: avast! (VPS 110807-1, 08/08/2011), Outbound message 
16.
X-Antivirus-Status: Clean 
17.
Bcc: 
18.
Return-Path: mrsdema5@yahoo.com.hk 
19.
Message-ID: <BHAKSVR2ZtWUW5I8ePB0000dbfd@mail.hak-neusiedl.at> 
20.
X-OriginalArrivalTime: 07 Aug 2011 20:27:31.0048 (UTC) FILETIME=[6EB44E80:01CC5540] 
21.
 
22.
<HTML><HEAD><TITLE></TITLE>
darauf hin generiert mein Postmaster folgende Antwort (diese Antwort gehört nicht zur oberen Mail, was die Analyse aber nicht erschweren sollte...):

01.
From: postmaster@akwi.at 
02.
To: mrsdema5@yahoo.com.hk 
03.
Date: Mon, 8 Aug 2011 11:01:25 +0200 
04.
MIME-Version: 1.0 
05.
Content-Type: multipart/report; report-type=delivery-status; 
06.
	boundary="9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied" 
07.
X-DSNContext: 7ac7e7f9 - 374 - 00000004 - C00402D1 
08.
Message-ID: <cLebRVuDj000c14c5@mail.hak-neusiedl.at> 
09.
Subject: Benachrichtigung   
10.
	zum   
11.
	=?unicode-1-1-utf-7?Q?+ANw-bermittlungsstatus   
12.
	(Verz+APY-gerung)?= 
13.
 
14.
This is a MIME-formatted message.   
15.
Portions of this message may be unreadable without a MIME-capable mail program. 
16.
 
17.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied 
18.
Content-Type: text/plain; charset=unicode-1-1-utf-7 
19.
 
20.
Dies ist eine automatisch erstellte Benachrichtigung +APw-ber den Zustellstatus. 
21.
 
22.
DIES IST NUR EINE WARNUNG. 
23.
 
24.
SIE M+ANw-SSEN DIE NACHRICHT NICHT ERNEUT SENDEN. 
25.
 
26.
+ANw-bermittlung an folgende Empf+AOQ-nger wurde verz+APY-gert. 
27.
 
28.
.... hier kommen die empfänger, an die die mail nicht zugestellt werden konnte .... 
29.
 
30.
 
31.
 
32.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied 
33.
Content-Type: message/delivery-status 
34.
 
35.
Reporting-MTA: dns;mail.hak-neusiedl.at 
36.
Received-From-MTA: dns;User 
37.
Arrival-Date: Sun, 7 Aug 2011 22:50:22 +0200 
38.
 
39.
Final-Recipient: rfc822;syz@blablabla.com 
40.
Action: delayed 
41.
Status: 4.4.7 
42.
Will-Retry-Until: Mon, 8 Aug 2011 00:50:24 +0200 
43.
 
44.
... hier kommt für jeden empfänger ein eintrag wie oben  
45.
Final-Recipient: rfc822;syz@blablabla.com 
46.
Action: delayed 
47.
Status: 4.4.7 
48.
Will-Retry-Until: Mon, 8 Aug 2011 00:50:24 +0200 
49.
........ 
50.
 
51.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied 
52.
Content-Type: message/rfc822 
53.
 
54.
Received: from User ([116.203.41.64] RDNS failed) by mail.hak-neusiedl.at with Microsoft SMTPSVC(6.0.3790.3959); 
55.
	 Sun, 7 Aug 2011 22:50:22 +0200 
56.
Reply-To: <mrsdemafahim6@yahoo.com.hk> 
57.
From: "Mrs. Dema Fahim"<mrsdema5@yahoo.com.hk> 
58.
Subject: PLEASE REPLY FAST 
59.
Date: Mon, 8 Aug 2011 02:20:55 +0530 
60.
MIME-Version: 1.0 
61.
Content-Type: text/html; 
62.
	charset="Windows-1251" 
63.
Content-Transfer-Encoding: 7bit 
64.
X-Priority: 3 
65.
X-MSMail-Priority: Normal 
66.
X-Mailer: Microsoft Outlook Express 6.00.2600.0000 
67.
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 
68.
X-Antivirus: avast! (VPS 110807-1, 08/08/2011), Outbound message 
69.
X-Antivirus-Status: Clean 
70.
Bcc: 
71.
Return-Path: mrsdema5@yahoo.com.hk 
72.
Message-ID: <BHAKSVR2RkUufQ4eaU30000de4b@mail.hak-neusiedl.at> 
73.
X-OriginalArrivalTime: 07 Aug 2011 20:50:23.0069 (UTC) FILETIME=[A07E18D0:01CC5543] 
74.
 
75.
<HTML><HEAD><TITLE></TITLE> 
76.
</HEAD> 
77.
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5> 
78.
<FONT size=2 color=#000000 face="Arial"> 
79.
<DIV> 
80.
FROM: MRS. DEMA FAHIM</DIV> 
81.
<DIV> 
82.
REMITTANCE DIRECTOR;</DIV> 
83.
<DIV> 
84.
Arab National Bank; Saudi Arabia.</DIV> 
85.
<DIV> 
86.
RIYADH - KINGDOM OF SAUDI ARABIA.</DIV> 
87.
<DIV> 
88.
&nbsp;</DIV> 
89.
<DIV> 
90.
&nbsp;</DIV> 
91.
<DIV> 
92.
E-mail contact: mrsdema10@yahoo.de</DIV> 
93.
<DIV> 
94.
&nbsp;</DIV>
Was ich als Ursache ausschließen kann:

- Es liegt KEIN offenes Relay vor.
Dies weiss ich deshalb, da ich alles kontrolliert habe - außerdem meint auch http://verify.abuse.net/cgi-bin/relaytest -->

Relay test result
All tests performed, no relays accepted.

- die Mail stammt von keinem verseuchten System innerhalb der Organisation
Dies weiss ich deshalb, da die Versenderadresse (siehe oben: 116.203.41.64) nicht zu meiner Organisation gehört...
[eine Whois-Abfrage ergab, dass diese Adresse zu MUMBAI-MTSINDIA-IN gehört...]

was ich bisher unternommen habe:
die Postmaster-Meldungen abgedreht, was zumindest die Warteschlange verkürzt, die Absender geblockt... (das hilft aber nur, bis es ein anderer versucht...)
Ich finde einfach nicht heraus, wo die eigentliche Ursache für dieses Verhalten liegt...

FRAGE:
Wie finde ich heraus, mit welcher Kennung sich der Versender gegenüber dem AD authentifiziert hat?
Ich habe schon testhalber das Logging aktiviert, dieses File ist aber binnen Sekunden so groß, dass der Texteditor aufgibt beim öffnen....


vielleicht weiss ja jemand von Euch Rat, ich wäre für jede Idee dankbar!!!

lg
schöne Woche
Edi
Mitglied: Edi.Pfisterer
08.08.2011 um 15:45 Uhr
OK, klassisches Montagsproblem!

Es wurde ein User im AD eingerichtet (vor Jahren und NICHT VON MIR ), der einen einfachen Username (sprich ein englisches Wort) und ein mutmasslich einfach zu erratendes Passwort hatte...

jetzt muss dieser User mitsamt der Adresse des Exchange auf einer Liste-für-böse-Buben gelandet sein...
der Rest steht oben....

der betreffende User ist natürlich in der Ereignisanzeige verdächtig oft aufgetaucht unter ID 538 bzw. 540 im Zweig "Sicherheit"...

hätte mir selbst einfallen müssen - wenn nicht Montag wäre

schöne Woche nochmals,
lg

Edi
Bitte warten ..
Ähnliche Inhalte
Ubuntu

Postfix als SMTP Relay für Exchange 2016

gelöst Frage von m.reegerUbuntu11 Kommentare

Hallo miteinander, ich habe hier eine Anleitung von wiesi200 gefunden. ) Diese war auch sehr hilfreich, doch ich bekomme ...

Exchange Server

Probleme mit Exchange 2010 und externem Relay

gelöst Frage von mgcluebeckExchange Server2 Kommentare

Hallo erstmal ins Forum, ich habe ein Problem mit einen Exchange 2010. Dort ist Direktmail eingerichtet. Zudem habe ich ...

Exchange Server

Exchange 2007 SMTP Relay nur intern

Frage von beginnerneedsassistanceExchange Server1 Kommentar

Hallo zusammen Ich bin da echt ein Anfänger und deshalb meine Frage: Ich habe einen Exchange 2007 Server mit ...

E-Mail

Exchange mit Postfix als SMTP Relay - Neuaufbau

Frage von staybbE-Mail8 Kommentare

Hallo Momentan haben wir folgende Konstellation im Einsatz: Postfix mit ClamAV und SpamAssassin welcher eMails von überall empfängt WWW ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 22 StundenVerschlüsselung & Zertifikate2 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 3 TagenSicherheits-Tools2 Kommentare

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware16 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...