Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2003 wird von Spammern missbraucht!

Mitglied: mwurster

mwurster (Level 1) - Jetzt verbinden

17.04.2005, aktualisiert 18.04.2005, 11383 Aufrufe, 6 Kommentare

Exchange 2003 wird von Spammern missbraucht!

Hallo Jungs,
habe hier ein ernstes Problem, irgendjemand missbraucht unseren Exchange 2003 zum spammen. Firewall hab ich Port 25 dicht gemacht, aber es kommen immer weiter noch Spams die über unseren Exchange verschickt werden.

Aktuellen Virendefinitionen und Virenscan haben ebenfalls kein Ergebnis gebracht. Habe jetzt als letzte Lösung den Exchange heruntergefahren. Wie kann ich herausfinden woher die Mails kommen und wie kann ich die wo noch in der Queue stehen löschen?

Bin für jeden Tipp dankbar.

Gruß Maik
Mitglied: Donnerwetter
17.04.2005 um 07:33 Uhr
Hallo,

den Exchange herunterfahren ist eine Sache, um dem ganzen aus demWeg zu gehen.

Ist jedoch nicht ganz so praktikabel.

Du hast die Möglichkeit beim Exchange 2003 festzulegen, wer über Deinen Server senden darf und wer nicht.

Und zwar findest Du die Einstellung bei den konfigurierten SMTP-Connectoren.
Hier wäre es wichtig, dass Du folgendes konfigurierst:

Nur Authentifizierte User dürfen über diesen Server senden.
Keinen Anonymous Zugriff gestatten oder senden ohne Anmeldung !

Sollte die Einstellung schon bestehen, so sieht es nach einem "Angriff" von innen aus.
D.h. einer Deiner Client-PC's sendet den Müll unter einem authentifizierten Account.


Sorge dafür, dass alle User den Outlook-Client geschlossen haben und sich keiner neu am Exchange von ausserhalb anmeldet.


Fahre den Server wieder hoch und deaktiviere erst einmal den/die SMTP-Connector/en.
Somit geht erst einmal nichts mehr raus, doch der Server nimmt locker flockig noch mails von aussen an.

Dann schaust Du Dir die Einstellung der SMTP-Connectoren in Ruhe an.
Prüfe die Konfiguration wie o.g. .

Schaue Dir die Mailboxen an und prüfe, ob es neue Anmeldungen gibt.
Evtl. kannst Du hierüber den internen Account herausfinden, der den Schaden anrichtet.
Dann schau Dir die IP-Verbindungen zum Server an, hiermit kannst Du auch den Client lokalisieren, der zum User passt.

Fahre diesen User-PC herunter. Schau nach ob die externe Mail-Queue noch weiter ansteigt.

Wenn nein, glück gehabt, Bösewicht gefunden.
Wenn ja, auf gleicher Weise weiter suchen.
Evtl. hat sich ein Wurm / Virus schon ein wenig verbreitet.


Hoffe, der Schnellschuß hilft Dir.

MfG

Donnerwetter
Bitte warten ..
Mitglied: phpchris
17.04.2005 um 09:34 Uhr
Auch ein Blick in die Header kann hilfreich sein:
Mail öffnen (nicht imm Vorschaufenster) -> Ansicht -> Optionen || bei Outlook.
Dann kannst du sehen, welchen Weg die E-Mail geht.

Wenn du Schwierigkeiten mit dem Header hast, poste ihn hier und wir schauen mal...
Bitte warten ..
Mitglied: mwurster
17.04.2005 um 18:04 Uhr
Hallo Jungs,
vielen Dank erstmal für eure Tips. Sämtliche Clients sind aus. Das ist ja das komische, also könnte es nur lokal direkt auf dem Server sein!?!

Kann ich denn irgendiwe die Mails, die in der Queue sind löschen? Ich mein da hängen jetzt noch 10000 Mails drin, die ich nicht unbedingt gerne versenden lassen würde.

Das "Problem" ist, ich habe auf dem selben Server noch einen IIS am laufen auf welchem unser Portal läuft und wo über die mail() function von PHP Mails versendet werden müssen. Aber da ich ja Port 25 auf der Firewall gesperrt ist, sollte es ja keinem möglich sein über unseren Mailserver mails versenden ausser lokal von diesem Mailserver aus.

Wäre super wenn mir jemand helfen könnte, gerne auch über Skype (maik.wurster) oder ICQ: 12278223

Danke vielmals im Voraus für die Hilfe!!!

Gruß Maik
Bitte warten ..
Mitglied: Donnerwetter
17.04.2005 um 21:07 Uhr
Hallo,

wie sieht es mit den anderen Servern aus, sind die clean?

Hast Du mal geschaut, welche IP-Verbindungen noch zum MailServer bestehen?

Steigt die Queue noch an?

Kann evtl. Dein IIS missbraucht worden sein um Spams über den Exchange zu senden.

Prüfe bitte mal Eure PHP-Scripte. Vielleicht ist dort auch eines zu viel oder abgeändert.

Ich kann gerade nicht an unseren Exchange ran um zu schauen wie man an die Queue kommt.

Doch schau mal bitte unter http://www.msexchangefaq.de, dort wirst Du bestimmt einen Beitrag zur SMTP-Queue finden. Sorry.

MfG

Donnerwetter
Bitte warten ..
Mitglied: mwurster
17.04.2005 um 23:57 Uhr
Es bestehen keine Verbindungen mehr zu dem Server. Zumindest zeigt mir Netstat keine mehr an. Es scheint als würden die Mails "lokal" verschickt zu werden.

Die Queue steigt ständig noch an. Die PHP-Scripte schauen alle sauber aus. Das war auch mein erster Gedanke. Ich habe zwar gefunden wo man die Queue löscht, aber das brignt nicht arg viel, weil sie ja ständig wieder ansteigt.

Habe die aktuelle Version von Mc Afee Antivirus Enterprise Edition v8.0i sowie AdAware Prof. installiert, sowie GFI Mail Essentials. McAfee sowie AdAware sagen, dass das System clean wäre. Die Virendefinitionen sind up2date.

Irgendjemand noch eine Idee, wie ich diese Mails stoppen kann?

Gruß Maik
Bitte warten ..
Mitglied: bos
18.04.2005 um 10:39 Uhr
Hi,

Dein Probleme hatte ich auch schon, bei mir haben sich 2 Exchange Server 1000000 E-mails gegenseitg zugesandt, aber es gibt ein Patch

gucke dir mal KB 835734 an, das hat bis jetzt geholfen.


Mfg BOS
Bitte warten ..
Ähnliche Inhalte
E-Mail

Account für SPAM missbraucht, Tipps parat?

Frage von d4shoerncheNE-Mail42 Kommentare

Guten Morgen, ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird ...

Datenschutz

Veeam liefert Datenquelle für Spammer frei Haus

Tipp von 137084Datenschutz6 Kommentare

Über 200GB an persönlichen Daten (Vorname, Nachname, E-Mail etc.) von Webseitenbenutzern und Kunden von Veeam standen 3 Tage lang ...

Soziale Netzwerke

50 Mio Facebookaccounts missbraucht ? Besser wohl gebraucht

Tipp von AlchimedesSoziale Netzwerke10 Kommentare

Hat sein Grund warum ich Socialmediascheiss nicht benutze. Cambridge Analytica wurde bekannt als die Firma, deren Datenauswertung Donald Trump ...

E-Mail

Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann

Anleitung von LordGurkeE-Mail10 Kommentare

Wieso steht da unsere Domain im Absender? Das kann doch nicht sein! Die Absenderadresse einer E-Mail kann man genau ...

Neue Wissensbeiträge
Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 14 StundenSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Router & Routing

Endlich: Reines Kabel-TV Modem in D erhältlich !

Information von aqui vor 3 TagenRouter & Routing11 Kommentare

Mit dem Technicolor TC4400-EU Modem sind nun auch Breitband Router ohne integriertes Modem oder Firewalls wie z.B. die pfSense ...

Netzwerkgrundlagen
The Illustrated TLS Connection
Information von Lochkartenstanzer vor 4 TagenNetzwerkgrundlagen1 Kommentar

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Windows 10

Zuverlässiger Remove-AppxProvisionedPackage Ausführen in W10-1803

Tipp von NetzwerkDude vor 5 TagenWindows 104 Kommentare

Moin, Remove-AppxProvisionedPackage hat in 1709 recht zuverlässig funktioniert, in 1803 ist es leider so das es gerne mail failed ...

Heiß diskutierte Inhalte
Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server20 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Debian
Linux debian 9 Installation
Frage von Green14Debian13 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Switche und Hubs
OpenSource oder Freeware zur Verwaltung von Switchen
gelöst Frage von JonskezSwitche und Hubs12 Kommentare

Hallo, gibt eine kostenlose Verwaltungssoftware für Switche (überwiegend HP/Aruba)? Es sollte möglich sein, aus der Ferne z.B. die Firmware ...