5
Exchange 2003 - Warteschlange voll mit fremden Absendern
Hallo Leute,
mein Exchange Server versendet Mails, die als Absender völlig wilde Domänen haben (aol.com; info.com; secure.net).
Es sieht so aus als wäre mein Server ein Open Relay.
Das habe ich aber schon dicht gemacht. Genauso wie alle Filter von Exchange eingeschaltet (Empfängerfilter, Absenderfilter).
NDRs sind meines Wissens auch deaktiviert (Absendererkennungsfilterung, Internet-Nachrichtenformate).
In der Servername.log Datei habe ich folgendes festgestellt:
2008-10-2 11:57:42 GMT 79.139.151.22 xlr1910 - SERVERNAME 172.20.XX.XX annie_988@hotmail.com 1031 9662ch63812uwva3098llv9715ca@xlr1910 0 0 1599 26 2008-10-2 11:55:17 GMT 0 Version: 6.0.3790.3959 - A stranger you were once. xlr1910@sbcglobal.net -
Wenn ich das richtig deute, bedeutet dieser Eintrag doch, dass jemand von der IP 79.139.151.22 eMails über meinen Server an annie_988qhotmail.com schickt.
Ich habe schon gegoogelt, aber nichts gefunden.
Wie kann ich herausfinden von wem die Mails versendet werden?
Es muss ja wohl irgendein Benutzerkonto gehackt worden sein.
Hoffentlich kann mir jemand helfen.
Ach ja. Ist ein Windows Server 2003 mit Exchange 2003 SP2
mein Exchange Server versendet Mails, die als Absender völlig wilde Domänen haben (aol.com; info.com; secure.net).
Es sieht so aus als wäre mein Server ein Open Relay.
Das habe ich aber schon dicht gemacht. Genauso wie alle Filter von Exchange eingeschaltet (Empfängerfilter, Absenderfilter).
NDRs sind meines Wissens auch deaktiviert (Absendererkennungsfilterung, Internet-Nachrichtenformate).
In der Servername.log Datei habe ich folgendes festgestellt:
2008-10-2 11:57:42 GMT 79.139.151.22 xlr1910 - SERVERNAME 172.20.XX.XX annie_988@hotmail.com 1031 9662ch63812uwva3098llv9715ca@xlr1910 0 0 1599 26 2008-10-2 11:55:17 GMT 0 Version: 6.0.3790.3959 - A stranger you were once. xlr1910@sbcglobal.net -
Wenn ich das richtig deute, bedeutet dieser Eintrag doch, dass jemand von der IP 79.139.151.22 eMails über meinen Server an annie_988qhotmail.com schickt.
Ich habe schon gegoogelt, aber nichts gefunden.
Wie kann ich herausfinden von wem die Mails versendet werden?
Es muss ja wohl irgendein Benutzerkonto gehackt worden sein.
Hoffentlich kann mir jemand helfen.
Ach ja. Ist ein Windows Server 2003 mit Exchange 2003 SP2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98769
Url: https://administrator.de/contentid/98769
Printed on: April 26, 2024 at 15:04 o'clock
5 Comments
Latest comment
Mahlzeit,
hört sich alles garnicht gut an... garnicht gut...
Lad dir mal bei Microsoft das "Exchange 2003 Sicherheitshandbuch" runter. Eine sehr gute Grundlagen um deinen Exchange zu härten!
Gruss
Daniel
hört sich alles garnicht gut an... garnicht gut...
Lad dir mal bei Microsoft das "Exchange 2003 Sicherheitshandbuch" runter. Eine sehr gute Grundlagen um deinen Exchange zu härten!
Gruss
Daniel
Ok, vielen Dank.
Ich habe mir das Sicherheitshandbuch geladen.
Auch ein paar Einstellungen gemacht. Ich hoffe jetzt ist endlich Ruhe.
Wenn nicht, melde ich mich wieder.
Gruß
Benedikt
Ich habe mir das Sicherheitshandbuch geladen.
Auch ein paar Einstellungen gemacht. Ich hoffe jetzt ist endlich Ruhe.
Wenn nicht, melde ich mich wieder.
Gruß
Benedikt
Leider hat es nichts gebracht.
Es sind wieder Mails in der Warteschlange.
Hat denn keiner eine Idee?
Kann ich in Exchange nicht irgendwo einstellen, dass die Absenderadresse nur @meine-domäne.de sein darf?
Ist vielleicht ein Virus schuld?
Gruß
Benedikt
Es sind wieder Mails in der Warteschlange.
Hat denn keiner eine Idee?
Kann ich in Exchange nicht irgendwo einstellen, dass die Absenderadresse nur @meine-domäne.de sein darf?
Ist vielleicht ein Virus schuld?
Gruß
Benedikt
Hi,
jetzt kommt es darauf an, welche Einstellungen du bei deinem Exchange jemals vorgenommen hast. Denn eigentlich ist der Exchange von Haus aus kein "Open Relay".
Vergleich doch mal in der Logdatei einen "normalen" Sendevorgang mit dem eines wie du meinst "spamers"
Ich habe gerade kein Logfile zur Hand mit dem ich vergleichen könnte. Auch habe ich die Syntax des Logfiles nicht im Kopf.
jetzt kommt es darauf an, welche Einstellungen du bei deinem Exchange jemals vorgenommen hast. Denn eigentlich ist der Exchange von Haus aus kein "Open Relay".
Vergleich doch mal in der Logdatei einen "normalen" Sendevorgang mit dem eines wie du meinst "spamers"
2008-10-2 11:57:42 GMT 79.139.151.22 xlr1910 - SERVERNAME 172.20.XX.XX annie_988@hotmail.com 1031 9662ch63812uwva3098llv9715ca@xlr1910 0 0 1599 26 2008-10-2 11:55:17 GMT 0 Version: 6.0.3790.3959 - A stranger you were once. xlr1910@sbcglobal.net -
Ich habe gerade kein Logfile zur Hand mit dem ich vergleichen könnte. Auch habe ich die Syntax des Logfiles nicht im Kopf.
Hallo,
hier ist mal ein Log von einer ausgehenden echten Mail:
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1027 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - c=us;a= ;p=DOMÄNE;l=SERVERNAME-081014072927Z-15 Cash DPH 14.10.08 EX:/O=DOMÄNE/OU=ERSTE ADMINISTRATIVE GRUPPE/CN=RECIPIENTS/CN=SENDER_USER -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1019 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1025 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1024 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1033 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1034 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1020 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
2008-10-14 7:29:27 GMT - - EMPFÄNGERSERVER SERVERNAME - empfänger@domäne.de 1031 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
Das sieht aber ganz anders aus.
Das erste Log ähnelt eher einer eingehenden Mail.
Trotzdem ist der Empfänger z. B. @yahoo.com.
Gruß
Benedikt
hier ist mal ein Log von einer ausgehenden echten Mail:
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1027 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - c=us;a= ;p=DOMÄNE;l=SERVERNAME-081014072927Z-15 Cash DPH 14.10.08 EX:/O=DOMÄNE/OU=ERSTE ADMINISTRATIVE GRUPPE/CN=RECIPIENTS/CN=SENDER_USER -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1019 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1025 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1024 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1033 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1034 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1020 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
2008-10-14 7:29:27 GMT - - EMPFÄNGERSERVER SERVERNAME - empfänger@domäne.de 1031 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -
Das sieht aber ganz anders aus.
Das erste Log ähnelt eher einer eingehenden Mail.
Trotzdem ist der Empfänger z. B. @yahoo.com.
Gruß
Benedikt