6
Exchange Edge 2013 Spam Schleuder
Guten Tag liebe Community,
ein Neukunde hat 2 Exchange 2013 Server.
Einer davon steht in einer DMZ als Edge Transport und der andere in der Domäne als Postfach/Clientzugriff.
Als Antispamlösung wird von Kaspersky Security for Exchange verwendet. Soweit ich sehen konnte sind die Microsoft-eigenen Spam Agents deaktiviert/deinstalliert.
Nachdem ich die Warteschlange vom Server geprüft habe, ist mir aufgefallen, dass viele NDR´s drin hängen (wollte das Ganze mal über 2 bis 3 Tage beobachten).
Heute ruft mich der Kunde an, es würde eine Email an einen Empfänger nicht durchgehen.
Email schicken lassen, raus kam "Your server IP address is in the SORBS DNSBL database, bye "
mxtoolbox aufgerufen und tatsächlich, der Kunde ist in 5 Spam Listen drin.
Open Relay habe ich bereits geprüft und alle Tests waren "Passed"
Laut der Warteschlange/Logs scheint es so, dass auch Nachts versendet wird.
Was für Möglichkeiten habe ich noch. Vor lauter Logs und Warteschlangen sehe ich im Moment den Wald vor lauter Bäumen nicht.
Falls ich wichtige Informationen vergessen habe, werde ich diese direkt nachreichen.
Danke euch schon mal!
LG GT
ein Neukunde hat 2 Exchange 2013 Server.
Einer davon steht in einer DMZ als Edge Transport und der andere in der Domäne als Postfach/Clientzugriff.
Als Antispamlösung wird von Kaspersky Security for Exchange verwendet. Soweit ich sehen konnte sind die Microsoft-eigenen Spam Agents deaktiviert/deinstalliert.
Nachdem ich die Warteschlange vom Server geprüft habe, ist mir aufgefallen, dass viele NDR´s drin hängen (wollte das Ganze mal über 2 bis 3 Tage beobachten).
Heute ruft mich der Kunde an, es würde eine Email an einen Empfänger nicht durchgehen.
Email schicken lassen, raus kam "Your server IP address is in the SORBS DNSBL database, bye "
mxtoolbox aufgerufen und tatsächlich, der Kunde ist in 5 Spam Listen drin.
Open Relay habe ich bereits geprüft und alle Tests waren "Passed"
Laut der Warteschlange/Logs scheint es so, dass auch Nachts versendet wird.
Was für Möglichkeiten habe ich noch. Vor lauter Logs und Warteschlangen sehe ich im Moment den Wald vor lauter Bäumen nicht.
Falls ich wichtige Informationen vergessen habe, werde ich diese direkt nachreichen.
Danke euch schon mal!
LG GT
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316414
Url: https://administrator.de/contentid/316414
Printed on: April 23, 2024 at 17:04 o'clock
6 Comments
Latest comment
Moin,
die NDRs könnten auch "normaler" Backscatter sein.
Ggfs. hat sich einer oder mehrere Clients einen Bot eingetreten? Wie ist denn die Firewall konfiguriert? Darf jeder per 25/tcp nach aussen oder nur der/die Exchange?
lg,
Slainte
die NDRs könnten auch "normaler" Backscatter sein.
Ggfs. hat sich einer oder mehrere Clients einen Bot eingetreten? Wie ist denn die Firewall konfiguriert? Darf jeder per 25/tcp nach aussen oder nur der/die Exchange?
lg,
Slainte
In der Firewall wird über eine Regel SMTP/SMTPS vom Edge Server ins Internet zugelassen. Also darf nur der Exchange in der DMZ senden.
Wie gesagt, ich denke nicht dass ein Client einen Bot hat, da die NDR´s auch Abends/Nachts reinkommen und bei SORBS ein Eintrag vom 27.09. um 21:57 Uhr enthalten ist.
Wie gesagt, ich denke nicht dass ein Client einen Bot hat, da die NDR´s auch Abends/Nachts reinkommen und bei SORBS ein Eintrag vom 27.09. um 21:57 Uhr enthalten ist.
Wenn die FW dicht ist, der Exchange kein open relay ist und du die Clients ausschliesst kann nur der Exchange der Spammer sein. Hast du evtl. die Möglichkeit ein Verkehr am WAN Port mit Wireshark zu analysieren?
Du meinst also auf dem Edge Exchange Server mit Wireshark scannen?
Nach was soll ich Ausschau halten? Port 25 oder was?
Danke schon mal für deine Unterstützung
Nach was soll ich Ausschau halten? Port 25 oder was?
Danke schon mal für deine Unterstützung
Du meinst also auf dem Edge Exchange Server mit Wireshark scannen?
Nein nicht den Exchange scannen, sondern der ausgehenden Traffic - möglichst von einer anderen Kiste aus - mitschreiben und nach verdächtigem Ausschau halten.Port 25 oder was?
Ja, wäre ein Möglichkeit. Ggfs. auch 465 und 587
Hallo,
was sagt den die Nachrichtenverfolgung von beiden Exchangeserver in Bezug auf die Spammails, tauchen die da drin auf?
Was sagt die Nachrchtenverfolgung zu den NDR, die müssen ja eigentlich eine Ursache haben.
Was ist denn Nachts beim Kunden so am laufen, das Mails verschicken darf?
Clients im Netz können echt keine Verbindung ins Internet aufbauen um externe Mailkonten einzubinden?
Hat der Mailserver eine eigene IP oder dieselbe IP wie der Rest vom Netzwerk? (die IP zum Internet)
Gruß
Chonta
was sagt den die Nachrichtenverfolgung von beiden Exchangeserver in Bezug auf die Spammails, tauchen die da drin auf?
Was sagt die Nachrchtenverfolgung zu den NDR, die müssen ja eigentlich eine Ursache haben.
Was ist denn Nachts beim Kunden so am laufen, das Mails verschicken darf?
Clients im Netz können echt keine Verbindung ins Internet aufbauen um externe Mailkonten einzubinden?
Hat der Mailserver eine eigene IP oder dieselbe IP wie der Rest vom Netzwerk? (die IP zum Internet)
Gruß
Chonta
