5
SBS versendet Spam - Accountsperre durch Service Provider
Hallo zusammen,
im Admin-Account unseres SBS 2003 habe ich seit ein paar Tagen NDR's und einige seltsame Mails, die ich persönlich als Spam einstufe (nach dem Motto: "ich erhalte von Ihnen Spam-Mails. Bitte stellen Sie das ab...").
Warum erhält der Admin NDR's, obwohl er doch keine Mails rausschickt? Laut NDR hat er nämlich angeblich Spam-Mails rausgesendet, die vom Empfänger "aufgrund eines Konfigurationsfehlers auf dem Server..." (#5.3.0) nicht empfangen wurden.
Mails werden per POP3-Connector beim SP abgeholt und per Smarthost versendet.
Kenne mich leider nicht wirklich gut aus in SBS...
Danke vorab und liebe Grüße
Pino
im Admin-Account unseres SBS 2003 habe ich seit ein paar Tagen NDR's und einige seltsame Mails, die ich persönlich als Spam einstufe (nach dem Motto: "ich erhalte von Ihnen Spam-Mails. Bitte stellen Sie das ab...").
Warum erhält der Admin NDR's, obwohl er doch keine Mails rausschickt? Laut NDR hat er nämlich angeblich Spam-Mails rausgesendet, die vom Empfänger "aufgrund eines Konfigurationsfehlers auf dem Server..." (#5.3.0) nicht empfangen wurden.
Mails werden per POP3-Connector beim SP abgeholt und per Smarthost versendet.
Kenne mich leider nicht wirklich gut aus in SBS...
Danke vorab und liebe Grüße
Pino
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93158
Url: https://administrator.de/contentid/93158
Printed on: April 20, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hallo.
Du bist wahrscheinlich Opfer einer Backscatter Attacke. Das heißt ein Spammer versendet mit einer existierenden E-Mail Adresse aus eurem Unternehmen SPAM. Die NDR landen dann natürlich auf eurem Exchange.
Abhilfe bieten derzeit eigentlich nur einige 3rd Party SPAM Filter - http://www.dataenter.at/products/xwall.htm
LG Günther
Du bist wahrscheinlich Opfer einer Backscatter Attacke. Das heißt ein Spammer versendet mit einer existierenden E-Mail Adresse aus eurem Unternehmen SPAM. Die NDR landen dann natürlich auf eurem Exchange.
Abhilfe bieten derzeit eigentlich nur einige 3rd Party SPAM Filter - http://www.dataenter.at/products/xwall.htm
LG Günther
Hallo Günther,
vielen Dank für Deine Antwort. Unser SP hat mittlerweile reagiert und unseren Account gesperrt (s.u.). Ich habe keine Ahnung, was ich nun tun soll!!!
Mail von unserem SP:
"...über Ihren Account wurden massiv Spam-Mails versandt. Möglich Ursachen hierfür sind oftmals unsichere Scripte, Sicherheitslücken in Anwendungen und ähnliches.
Gemäß unseren AGB, Punkt 4 (Pflichten des Kunden), Absatz 4.3, haben wir Ihren Account gesperrt.
- - - - - - -
Anbei weitere Informationen, die wir dazu erhalten haben:
- - - - - - -
Ursprüngliche Nachricht-----
Von: 3317612262@reports.spamcop.net [mailto:3317612262@reports.spamcop.net]
Bereitgestellt: Sonntag, 27. Juli 2008 04:02 Bereitgestellt in: NOC
Betreff: [SpamCop (http://www.meinedomain.de/flash.exe) id:3317612262]Jolie nude video
[ SpamCop V2 ]
This message is brief for your comfort. Please use links below for details.
Spamvertised web site: http://www.meinedomain.de/flash.exe http://www.spamcop.net/w3m?i=z3317612262zc237f4671b1b2b028d5e3a72f2dd71 ...
http://www.meinedomain.de/flash.exe is 82.100.220.35; Sun, 27 Jul 2008 02:31:24 GMT
[ Offending message ]
Return-Path: <>
Delivered-To: spam-quarantine
X-Envelope-From: <uwun@smcpneumatics.be>
X-Envelope-To: <x>
X-Quarantine-ID: <PZkAIRGrnAhj>
X-Spam-Flag: YES
X-Spam-Score: 22.625
X-Spam-Level: **
X-Spam-Status: Yes, score=22.625 tag=2 tag2=3.5 kill=7 tests=[BAYES_99=3.5,
DOS_OE_TO_MX=2.75, FH_HELO_EQ_D_D_D_D=0.001,
HELO_DYNAMIC_IPADDR=2.426, HTML_IMAGE_ONLY_12=2.46,
HTML_MESSAGE=0.001, HTML_OBFUSCATE_05_10=0.001,
HTML_SHORT_LINK_IMG_2=0.001, JM_REACTOR_MAILER=1,
MPART_ALT_DIFF_COUNT=1.11, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.5, RAZOR2_CHECK=0.5,
RCVD_IN_BL_SPAMCOP_NET=1.96, RCVD_IN_PBL=0.905,
RCVD_IN_SORBS_DUL=0.877, RCVD_IN_XBL=3.033, RDNS_DYNAMIC=0.1]
Received: from earendel.org ([127.0.0.1])
by localhost (earendel.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id PZkAIRGrnAhj for <x>;
Sat, 26 Jul 2008 22:02:20 -0400 (EDT)
Received: from c-67-181-40-239.hsd1.ca.comcast.net (c-67-181-40-239.hsd1.ca.comcast.net [67.181.40.239])
by earendel.org (Postfix) with ESMTP id A29576441
for <x>; Sat, 26 Jul 2008 22:02:19 -0400 (EDT)
Message-ID: <0009______________________779d@oijqbk>
From: "joseito jameson" <uwun@smcpneumatics.be>
To: <x>
Subject: Jolie nude video
Date: Sun, 27 Jul 2008 00:14:57 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C8EF8C.07D20D72"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
This is a multi-part message in MIME format.
[...]
Was kann ich bloß tun??????
vielen Dank für Deine Antwort. Unser SP hat mittlerweile reagiert und unseren Account gesperrt (s.u.). Ich habe keine Ahnung, was ich nun tun soll!!!
Mail von unserem SP:
"...über Ihren Account wurden massiv Spam-Mails versandt. Möglich Ursachen hierfür sind oftmals unsichere Scripte, Sicherheitslücken in Anwendungen und ähnliches.
Gemäß unseren AGB, Punkt 4 (Pflichten des Kunden), Absatz 4.3, haben wir Ihren Account gesperrt.
- - - - - - -
Anbei weitere Informationen, die wir dazu erhalten haben:
- - - - - - -
Ursprüngliche Nachricht-----
Von: 3317612262@reports.spamcop.net [mailto:3317612262@reports.spamcop.net]
Bereitgestellt: Sonntag, 27. Juli 2008 04:02 Bereitgestellt in: NOC
Betreff: [SpamCop (http://www.meinedomain.de/flash.exe) id:3317612262]Jolie nude video
[ SpamCop V2 ]
This message is brief for your comfort. Please use links below for details.
Spamvertised web site: http://www.meinedomain.de/flash.exe http://www.spamcop.net/w3m?i=z3317612262zc237f4671b1b2b028d5e3a72f2dd71 ...
http://www.meinedomain.de/flash.exe is 82.100.220.35; Sun, 27 Jul 2008 02:31:24 GMT
[ Offending message ]
Return-Path: <>
Delivered-To: spam-quarantine
X-Envelope-From: <uwun@smcpneumatics.be>
X-Envelope-To: <x>
X-Quarantine-ID: <PZkAIRGrnAhj>
X-Spam-Flag: YES
X-Spam-Score: 22.625
X-Spam-Level: **
X-Spam-Status: Yes, score=22.625 tag=2 tag2=3.5 kill=7 tests=[BAYES_99=3.5,
DOS_OE_TO_MX=2.75, FH_HELO_EQ_D_D_D_D=0.001,
HELO_DYNAMIC_IPADDR=2.426, HTML_IMAGE_ONLY_12=2.46,
HTML_MESSAGE=0.001, HTML_OBFUSCATE_05_10=0.001,
HTML_SHORT_LINK_IMG_2=0.001, JM_REACTOR_MAILER=1,
MPART_ALT_DIFF_COUNT=1.11, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.5, RAZOR2_CHECK=0.5,
RCVD_IN_BL_SPAMCOP_NET=1.96, RCVD_IN_PBL=0.905,
RCVD_IN_SORBS_DUL=0.877, RCVD_IN_XBL=3.033, RDNS_DYNAMIC=0.1]
Received: from earendel.org ([127.0.0.1])
by localhost (earendel.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id PZkAIRGrnAhj for <x>;
Sat, 26 Jul 2008 22:02:20 -0400 (EDT)
Received: from c-67-181-40-239.hsd1.ca.comcast.net (c-67-181-40-239.hsd1.ca.comcast.net [67.181.40.239])
by earendel.org (Postfix) with ESMTP id A29576441
for <x>; Sat, 26 Jul 2008 22:02:19 -0400 (EDT)
Message-ID: <0009______________________779d@oijqbk>
From: "joseito jameson" <uwun@smcpneumatics.be>
To: <x>
Subject: Jolie nude video
Date: Sun, 27 Jul 2008 00:14:57 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C8EF8C.07D20D72"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
This is a multi-part message in MIME format.
[...]
Was kann ich bloß tun??????
Hallo.
a) überprüfe ob über Telnet Port 25 dein SBS aus dem Internet überhaupt erreichbar ist
b) wenn nein, dann kann dein Exchange nicht als offenes Relay verwendet werden
c) beende den virtuellen SMTP
d) überprüfe ob sich in den Wartschlangen Nachrichten befinden
e) wenn nein, dann ist es nicht dein Exchange sondern einer deiner Clients
aa) sperre auf der Firewall Post 25 LAN -> WAN und aktiv
bb) überprüfe im Protokoll der Firewall welcher Client den Mist macht
cc) bereinige den Client
LG Günther
a) überprüfe ob über Telnet Port 25 dein SBS aus dem Internet überhaupt erreichbar ist
b) wenn nein, dann kann dein Exchange nicht als offenes Relay verwendet werden
c) beende den virtuellen SMTP
d) überprüfe ob sich in den Wartschlangen Nachrichten befinden
e) wenn nein, dann ist es nicht dein Exchange sondern einer deiner Clients
aa) sperre auf der Firewall Post 25 LAN -> WAN und aktiv
bb) überprüfe im Protokoll der Firewall welcher Client den Mist macht
cc) bereinige den Client
LG Günther
Hallo Günther,
zunächst einmal ganz herzlich lieben Dank für Deine Hilfe!
ad a) SBS über Telnet Port 25 ist erreichbar
ad c) Wie mache ich das?
ad d) Keine Nachrichten in den Warteschlangen
ad aa) Was meinst Du genau damit? Port 25 LAN -> WAN sperren? Was bedeutet "aktiv". Verstehe den Satz leider nicht ganz...
ad bb) Werde ich morgen vor Ort überprüfen.
Sorry für meine vielen Fragen, bin aber leider nicht so fit in SBS...
Danke!
Pino
zunächst einmal ganz herzlich lieben Dank für Deine Hilfe!
ad a) SBS über Telnet Port 25 ist erreichbar
ad c) Wie mache ich das?
ad d) Keine Nachrichten in den Warteschlangen
ad aa) Was meinst Du genau damit? Port 25 LAN -> WAN sperren? Was bedeutet "aktiv". Verstehe den Satz leider nicht ganz...
ad bb) Werde ich morgen vor Ort überprüfen.
Sorry für meine vielen Fragen, bin aber leider nicht so fit in SBS...
Danke!
Pino
Hallo,
im Protokoll der Firewall sehe ich leider nur, welche Verbindungen erfolgreich geblockt wurden. Is' ja wohl nicht wahr! Was bringt mir dann dieses blöde Protokoll...?
Hast Du ne Empfehlung für eine vernünftige Firewall, die auch für mich recht leicht noch zu bedienen ist? Bin zwar kein absoluter Laie, aber der Profi nun auch nicht.
Wie stelle ich am besten sonst sicher, dass die Angriffe auf den Server geblockt werden?
Danke & liebe Grüße
Pino
im Protokoll der Firewall sehe ich leider nur, welche Verbindungen erfolgreich geblockt wurden. Is' ja wohl nicht wahr! Was bringt mir dann dieses blöde Protokoll...?
Hast Du ne Empfehlung für eine vernünftige Firewall, die auch für mich recht leicht noch zu bedienen ist? Bin zwar kein absoluter Laie, aber der Profi nun auch nicht.
Wie stelle ich am besten sonst sicher, dass die Angriffe auf den Server geblockt werden?
Danke & liebe Grüße
Pino
