5
Logging bei Exchange 2013
Hallo Leute,
ich habe eine kleine Frage zum Logging von Exchange 2013.
Zur Vorgeschichte: unser IPS hat ungewöhnliche/gefährliche DNS-Anfragen aus unserem Netzwerk erkannt, geblockt und uns als Warnmeldung gemeldet.
Ich habe die DNS-Server -Logs soweit es geht durchsucht und mir ist dabei aufgefallen, dass wohl das SMTP-Gateway an die internen DNS-Server die Anfragen gestellt hat.
Das SMTP-Gateway hat versucht die Mail zu versenden. Das Gateway hat also bei den internen DNS-Servern nach den MX-Adressen für die Mail-Domain gefragt.
Die internen DNS-Server "befragen" das Internet....diese Anfragen wurden vom IPS geblockt -> das GW bekommt keine IP-Adresse zurück und kann die Mail nicht zustellen - desweitern ist die Mail dann aus dem Spool geflogen.
Im Log des Gateway's kann ich leider keinen Eintrag finden - der Spool wird nicht geloggt...
Die Vorstufe zum SMTP-Gateway ist unserer Exchange 2013 (das Gateway nimmt nur von diesem E-Mails an). Wo kann ich dort den Weg der Mail nachvollziehen? Irgendwie finde ich keine passenden Log-Dateien....
ich habe eine kleine Frage zum Logging von Exchange 2013.
Zur Vorgeschichte: unser IPS hat ungewöhnliche/gefährliche DNS-Anfragen aus unserem Netzwerk erkannt, geblockt und uns als Warnmeldung gemeldet.
Ich habe die DNS-Server -Logs soweit es geht durchsucht und mir ist dabei aufgefallen, dass wohl das SMTP-Gateway an die internen DNS-Server die Anfragen gestellt hat.
Das SMTP-Gateway hat versucht die Mail zu versenden. Das Gateway hat also bei den internen DNS-Servern nach den MX-Adressen für die Mail-Domain gefragt.
Die internen DNS-Server "befragen" das Internet....diese Anfragen wurden vom IPS geblockt -> das GW bekommt keine IP-Adresse zurück und kann die Mail nicht zustellen - desweitern ist die Mail dann aus dem Spool geflogen.
Im Log des Gateway's kann ich leider keinen Eintrag finden - der Spool wird nicht geloggt...
Die Vorstufe zum SMTP-Gateway ist unserer Exchange 2013 (das Gateway nimmt nur von diesem E-Mails an). Wo kann ich dort den Weg der Mail nachvollziehen? Irgendwie finde ich keine passenden Log-Dateien....
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 275166
Url: https://administrator.de/contentid/275166
Printed on: April 24, 2024 at 23:04 o'clock
5 Comments
Latest comment
Hallo,
ich vermute eine Fehlkonfiguration des IDS. Da der Exchange natürlich abfragt, ob die Adresse, an die gesandt werden soll überhaupt "da" ist, das kann dann gerne eine Fehldiagnose DNS Flooding sein.
VG
Was ists denn für ein IDS/IPS?
ich vermute eine Fehlkonfiguration des IDS. Da der Exchange natürlich abfragt, ob die Adresse, an die gesandt werden soll überhaupt "da" ist, das kann dann gerne eine Fehldiagnose DNS Flooding sein.
VG
Was ists denn für ein IDS/IPS?
Es ist eine "Sophos UTM320". Das eigentliche IPS auf der Appliance ist Snort.
Ich weiß nicht ob man von einem Fehlalarm ausgehen kann. Das System wurde nur durch die vorgefertigte Bedienoberfläche konfiguriert....da kann eigentlich nicht sooo viel schief gehen.
Desweitern kann ich zu 100% sagen, dass die von mir gefundene DNS-Abfrage im DNS-Server-Log die "böse" Abfrage ist.
Wenn ich über nslookup den A-Record der Domain abfrage, springt das IPS wieder an.
Da das Mailgateway nicht einfach von selbst Mails schickt, sondern nur die vom Exchange weiterverarbeitet kann es eigentlich nur von dem 2013er Exchange kommen.
In wieweit Prüft der Exchange das Vorhandensein der E-Mail-Domain? Das Mailgateway ist im Exchange als Smarthost hinterlegt - der Exchange kommuniziert nicht direkt mit den Mailservern im Internet.
Ich weiß nicht ob man von einem Fehlalarm ausgehen kann. Das System wurde nur durch die vorgefertigte Bedienoberfläche konfiguriert....da kann eigentlich nicht sooo viel schief gehen.
Desweitern kann ich zu 100% sagen, dass die von mir gefundene DNS-Abfrage im DNS-Server-Log die "böse" Abfrage ist.
Wenn ich über nslookup den A-Record der Domain abfrage, springt das IPS wieder an.
Da das Mailgateway nicht einfach von selbst Mails schickt, sondern nur die vom Exchange weiterverarbeitet kann es eigentlich nur von dem 2013er Exchange kommen.
In wieweit Prüft der Exchange das Vorhandensein der E-Mail-Domain? Das Mailgateway ist im Exchange als Smarthost hinterlegt - der Exchange kommuniziert nicht direkt mit den Mailservern im Internet.
Moin.
Weil normale DNS-Anfragen aus dem internen Netz sollten normalerweise problemlos durchgehen, deswegen meine Vermutung das die Appliance da eventuell eine Blacklist führt.
Gruß jodel32
Wenn ich über nslookup den A-Record der Domain abfrage, springt das IPS wieder an.
Nur eine Vermutung: Vielleicht eine Blacklist die die Sophos da führt ?Weil normale DNS-Anfragen aus dem internen Netz sollten normalerweise problemlos durchgehen, deswegen meine Vermutung das die Appliance da eventuell eine Blacklist führt.
Gruß jodel32
Das IPS überwacht ja prinzipiell den ganzen Traffic. Dadurch sind auch "normale" Abfragen ebenfalls mit drin.
Die Abfragen gehen an .pw-Domains. Laut Sophos-Support geht die UTM mit solchen Domains ziemlich misstrauisch vor.
Gestern Nacht ist das IPS mit identischen Fehlern und gleichem Fehlerbild wieder angeschlagen.
Die MX-Anfragen von Freitag gingen an mozaconergy.pw. Gestern sollten wohl Mails an mojotowngear.pw geschickt werden. Beiden URL's sind der Kategorie "Spam" zuzuordnen.
Wie gesagt...ich gehe nicht von Fehlalarmen aus. Das IPS der Sophos ist auf "Drop Traffic" eingestellt - es tut also was es soll...
Nochmal zur eigentlichen Frage: Kann ich auf dem Exchange irgendwie sehen "wer" die Mail an mozaconergy.pw bzw. mojotowngear.pw schicken wollte??
Die Abfragen gehen an .pw-Domains. Laut Sophos-Support geht die UTM mit solchen Domains ziemlich misstrauisch vor.
Gestern Nacht ist das IPS mit identischen Fehlern und gleichem Fehlerbild wieder angeschlagen.
Die MX-Anfragen von Freitag gingen an mozaconergy.pw. Gestern sollten wohl Mails an mojotowngear.pw geschickt werden. Beiden URL's sind der Kategorie "Spam" zuzuordnen.
Wie gesagt...ich gehe nicht von Fehlalarmen aus. Das IPS der Sophos ist auf "Drop Traffic" eingestellt - es tut also was es soll...
Nochmal zur eigentlichen Frage: Kann ich auf dem Exchange irgendwie sehen "wer" die Mail an mozaconergy.pw bzw. mojotowngear.pw schicken wollte??
Zitat von @Philipp711:
Nochmal zur eigentlichen Frage: Kann ich auf dem Exchange irgendwie sehen "wer" die Mail an mozaconergy.pw bzw.
mojotowngear.pw schicken wollte??
Ja, in den TransportLogs des ExchangeNochmal zur eigentlichen Frage: Kann ich auf dem Exchange irgendwie sehen "wer" die Mail an mozaconergy.pw bzw.
mojotowngear.pw schicken wollte??
https://technet.microsoft.com/en-us/library/dd302434(v=exchg.150).aspx
