12
Exchange 2007 Unzustellbarkeitsberichts Spam
Hallo,
wir setzen einen Exchange 2007 ein und ich habe festgestellt das über den Server Unzustellbarkeitsberichte als Spam versendet werden.
Wie kann ich das verhindern, ohne diese Unzustellbarkeitsberichte komplett abzustellen?
wir setzen einen Exchange 2007 ein und ich habe festgestellt das über den Server Unzustellbarkeitsberichte als Spam versendet werden.
Wie kann ich das verhindern, ohne diese Unzustellbarkeitsberichte komplett abzustellen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203538
Url: https://administrator.de/contentid/203538
Printed on: May 7, 2024 at 17:05 o'clock
12 Comments
Latest comment
das über den Server Unzustellbarkeitsberichte als Spam versendet werden
Wenn das wirklich so ist, dann handelt es sich um Backscatter. Diese Art SPAM zu blocken ist derzeit nur mit sehr wenigen Produkten möglich. Eines davon ist die XWALL von http://www.dataenter.at
LG Günther
Hallo,
zunächst prüfen wo die Spam-Mails in das System reinkommen:
- Von einem angemeldeten Benutzer
- Über eine infizierte interne Maschine
- Per Versand an ungültige Empfängeradressen in eurer Domain
Wenn die Dinger als Unzustellbarkeitsnachricht rausgehen ist es meist der dritte Punkt und dabei oft eine vorgeschalteter Virenscanner der keine Empfängeradressen prüft.
Gruß
Andi
zunächst prüfen wo die Spam-Mails in das System reinkommen:
- Von einem angemeldeten Benutzer
- Über eine infizierte interne Maschine
- Per Versand an ungültige Empfängeradressen in eurer Domain
Wenn die Dinger als Unzustellbarkeitsnachricht rausgehen ist es meist der dritte Punkt und dabei oft eine vorgeschalteter Virenscanner der keine Empfängeradressen prüft.
Gruß
Andi
Hi,
also ich hab die E-Mail Queue mal angehalten und mal in die Eigenschaften von so einer E-Mail geschaut.
From Address: <>
Message Source Name: DSN
Recipients: emfpaenger@fremdedomain.tld
Ist das hilfreich?
also ich hab die E-Mail Queue mal angehalten und mal in die Eigenschaften von so einer E-Mail geschaut.
From Address: <>
Message Source Name: DSN
Recipients: emfpaenger@fremdedomain.tld
Ist das hilfreich?
Nur bedingt
Ein gutes Mailsystem teilt dir in den Logfiles mit woher eine Mail kommt (IP-Adresse, authentifiziert oder nicht etc) und wohin sie geht. Das sollte eigentlich auch bei Exchange möglich sein (Exchange Spezialisten vortreten..)
So wie es *aussieht* ist es tatsächlich Fall 3, dann solltest du prüfen warum euer Server Mails annimmt für die es keine gültigen Empfänger gibt. Wie kommen die Mails den in den Server, SMTP oder holt ihr per POP3 irgendwo ab?
Gruß
Andi
Ein gutes Mailsystem teilt dir in den Logfiles mit woher eine Mail kommt (IP-Adresse, authentifiziert oder nicht etc) und wohin sie geht. Das sollte eigentlich auch bei Exchange möglich sein (Exchange Spezialisten vortreten..)
So wie es *aussieht* ist es tatsächlich Fall 3, dann solltest du prüfen warum euer Server Mails annimmt für die es keine gültigen Empfänger gibt. Wie kommen die Mails den in den Server, SMTP oder holt ihr per POP3 irgendwo ab?
Gruß
Andi
Hallo,
also die Mails kommen per SMTP.
Ich habe nun das Problem etwas genauer analysiert und es sind nicht die Unzustellbarkeitsberichte.
Es liegt daran das man an beliebig@meinedomain.de E-Mails versenden kann, auch wenn die Mail Adresse garnicht existiert...
Ich habe schon im Empfangskonnektor nachgeschaut, aber nichts entdeckt. Wo kann ich einstellen, das E-Mails für meine Domain nur angenommen werden, wenn die E-Mail Adresse in meiner Domain auch wirklich existiert.
Unter Organisations Einstellungen > Anti-Spam habe ich Empfangs Filterung aktiviert und im Reiter "Blockierte Empfänger" denk Haken gesetzt bei Block von unbekannten Empfängern ... Trotzdem kann ich immer noch an irgendenwen@meinedomain senden ... Wo muss ich noch Einstellungen vornehmen?
also die Mails kommen per SMTP.
Ich habe nun das Problem etwas genauer analysiert und es sind nicht die Unzustellbarkeitsberichte.
Es liegt daran das man an beliebig@meinedomain.de E-Mails versenden kann, auch wenn die Mail Adresse garnicht existiert...
Ich habe schon im Empfangskonnektor nachgeschaut, aber nichts entdeckt. Wo kann ich einstellen, das E-Mails für meine Domain nur angenommen werden, wenn die E-Mail Adresse in meiner Domain auch wirklich existiert.
Unter Organisations Einstellungen > Anti-Spam habe ich Empfangs Filterung aktiviert und im Reiter "Blockierte Empfänger" denk Haken gesetzt bei Block von unbekannten Empfängern ... Trotzdem kann ich immer noch an irgendenwen@meinedomain senden ... Wo muss ich noch Einstellungen vornehmen?
Organisationstransport -> Hub-Transport -> Empfängerfilterung aktivieren und dann in den Eigenschaften -> Register Geblockte Empfänger die 1. Checkbox aktivieren.
LG Günther
LG Günther
Vielen Dank für den Tip,
ich habe es eingestellt nur kann ich immer noch E-Mails an z.B.
blabla@meinedomain.de schicken
blabla@fremdedomain.de funktioniert nicht, was schon mal gut ist.
Wie kann ich einstellen das nur E-Mails angenommen werden deren E-Mail Adressen auch wirklich existieren?
ich habe es eingestellt nur kann ich immer noch E-Mails an z.B.
blabla@meinedomain.de schicken
blabla@fremdedomain.de funktioniert nicht, was schon mal gut ist.
Wie kann ich einstellen das nur E-Mails angenommen werden deren E-Mail Adressen auch wirklich existieren?
Hi.
Das ist auch normal so. Der Exchange nimmst sie an, und verwirft sie dann. Damit wird vermieden, dass ein eventueller Angreifer über einen Bruteforce Angriff die echten E-Mail Adressen herausfinden kann.
ist auch gut so, sonst wäre der Exchange ein offenes Relay
Wie oben geschrieben, macht das der Exchange so nicht. Ein Produkt dass das kann wäre die von mir erwähnte XWALL. Die kann bereits auf SMTP Ebene die Verbindung abbrechen. Hat dann aber auch einen eigenen Mechanismus, der Bruteforce Angriffe verhindert.
LG Günther
ich habe es eingestellt nur kann ich immer noch E-Mails an z.B. abla@meinedomain.de schicken
Das ist auch normal so. Der Exchange nimmst sie an, und verwirft sie dann. Damit wird vermieden, dass ein eventueller Angreifer über einen Bruteforce Angriff die echten E-Mail Adressen herausfinden kann.
blabla@fremdedomain.de funktioniert nicht, was schon mal gut ist.
ist auch gut so, sonst wäre der Exchange ein offenes Relay
Wie kann ich einstellen das nur E-Mails angenommen werden deren E-Mail Adressen auch wirklich existieren?
Wie oben geschrieben, macht das der Exchange so nicht. Ein Produkt dass das kann wäre die von mir erwähnte XWALL. Die kann bereits auf SMTP Ebene die Verbindung abbrechen. Hat dann aber auch einen eigenen Mechanismus, der Bruteforce Angriffe verhindert.
LG Günther
Ok, vielen Dank.
So scheint es nun zu funktionieren.
So scheint es nun zu funktionieren.
Zitat von @GuentherH:
Hi.
> ich habe es eingestellt nur kann ich immer noch E-Mails an z.B. abla@meinedomain.de schicken
Das ist auch normal so. Der Exchange nimmst sie an, und verwirft sie dann. Damit wird vermieden, dass ein eventueller Angreifer
über einen Bruteforce Angriff die echten E-Mail Adressen herausfinden kann.
Hi.
> ich habe es eingestellt nur kann ich immer noch E-Mails an z.B. abla@meinedomain.de schicken
Das ist auch normal so. Der Exchange nimmst sie an, und verwirft sie dann. Damit wird vermieden, dass ein eventueller Angreifer
über einen Bruteforce Angriff die echten E-Mail Adressen herausfinden kann.
Sorry das ist Blödsinn. Ein "Bruteforce" Angriff auf e-Mail Adressen gibt es nicht. Ungültige Empfängeradressen anzunehmen und zu löschen (/dev/null) ist sehr unangenehm bei Tippfehlern und ist unter Umständen in Deutschland sogar verboten. Entweder im SMTP Dialog abweisen oder annehmen & zustellen, alles andere ist Pfusch.
Gruß
Andi
Hi.
wenn man nur Halbwissen besitzt, gibt es 2 Möglichkeiten.
a) man liest mit, fragt nach und freut sich wieder etwas dazugelernt zu haben
b) man schreit laut, fällt auf die Nase und blamiert sich
Lies dir hier den KB-Artikel zum Thema Brute-Force und Tarpitting einmal durch http://support.microsoft.com/kb/842851/de
Hier das gleiche Thema bei einem Spamfilter - http://www.dataenter.at/doc/xwall_admin_options.htm#session
LG Günther
Sorry das ist Blödsinn. Ein "Bruteforce" Angriff auf e-Mail Adressen gibt es nicht
wenn man nur Halbwissen besitzt, gibt es 2 Möglichkeiten.
a) man liest mit, fragt nach und freut sich wieder etwas dazugelernt zu haben
b) man schreit laut, fällt auf die Nase und blamiert sich
Lies dir hier den KB-Artikel zum Thema Brute-Force und Tarpitting einmal durch http://support.microsoft.com/kb/842851/de
Hier das gleiche Thema bei einem Spamfilter - http://www.dataenter.at/doc/xwall_admin_options.htm#session
LG Günther
Zitat von @GuentherH:
Hi.
> Sorry das ist Blödsinn. Ein "Bruteforce" Angriff auf e-Mail Adressen gibt es nicht
wenn man nur Halbwissen besitzt, gibt es 2 Möglichkeiten.
a) man liest mit, fragt nach und freut sich wieder etwas dazugelernt zu haben
b) man schreit laut, fällt auf die Nase und blamiert sich
Hi.
> Sorry das ist Blödsinn. Ein "Bruteforce" Angriff auf e-Mail Adressen gibt es nicht
wenn man nur Halbwissen besitzt, gibt es 2 Möglichkeiten.
a) man liest mit, fragt nach und freut sich wieder etwas dazugelernt zu haben
b) man schreit laut, fällt auf die Nase und blamiert sich
Genau!
Wenn man noch nie ein RFC konformes Mailsystem betreut hat und Microsoft als letzte Instanz ansieht mag das natürlich logisch erscheinen.
Lies dir hier den KB-Artikel zum Thema Brute-Force und Tarpitting einmal durch http://support.microsoft.com/kb/842851/de
Hier das gleiche Thema bei einem Spamfilter - http://www.dataenter.at/doc/xwall_admin_options.htm#session
Hier das gleiche Thema bei einem Spamfilter - http://www.dataenter.at/doc/xwall_admin_options.htm#session
Und das Hersteller Ihre Produkte anpreisen klingt auch irgendwie logisch, oder? Da werden auch mal nuztlose Funktionen als unbedingt notwendig angepriesen.
In den letzten 15 Jahren hab ich noch keinerlei Dictionary Attack gesehen die auch nur eine einzige Mailadresse gefunden hätte außer vielleicht info@domain und postmaster@domain und die kann man auch blind befeuern.
Deshalb dann e-Mail ohne Rückmeldung wegzuschmeissen, wenn eventuell nur ein Buchstabendreher in der Adresse ist macht e-Mail nutzlos, da man im Zweifelsfall hinterher telefonieren muß ob sie auch angekommen ist.
Denk mal drüber nach
Andi
