Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SBS2003 Spamversand

Mitglied: optimist2003

optimist2003 (Level 1) - Jetzt verbinden

26.03.2013 um 19:01 Uhr, 1483 Aufrufe, 4 Kommentare

Da ich nicht gerade ein Spezialist in Sachen Exchange bin wende ich mich an euch.

Wir betreiben einen SBS2003 bzw. deren Exchangefunktion.
Es gibt nun seit kurzen ein Problem mit dem Postausgang.
Wir versenden Spam. In den letzten Tagen in riesen Mengen so dass ich die Warteschalnge anhalten musste.

Der Versand erfolgt über den SMTP Connector bzw. dann weiter über unseren Hoster.

Es gibt also in der Konfiguration einen SMTP Connector und unter Protokolle/SMTP ein Virtuellen SMTP Server.

Ein offenes Relay haben wir nicht. Zumindest haben das diverse Tests ergeben.
Also vermute ich also einen Schädling am Server.

Nun würde ich um ein paar Tips bitten wie ich diesem auf die Spur kommen kann.

Hier ein Logauszug:

Wie könnte ich diese IP 197.255.168.119 sperren?

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2013-03-26 17:24:49
#Fields: c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-host cs(User-Agent) cs(Cookie)
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.debauche@aol.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturner903@comcast.net> 250 0 42 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cameron@comcast.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sheehan1@bellsouth.net> 250 0 43 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarlight@yahoo.com> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1246@hotmail.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick7c7@yahoo.com> 250 0 33 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturnerd@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cklau@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarrlight@yahoo.com> 250 0 41 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1302@yahoo.com> 250 0 34 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick82jr@aol.com> 250 0 32 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.m.vogt@gmail.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.deloney@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sherry@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_clntn@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciatusing@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastaub@verizon.net> 250 0 38 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick15120@verizon.net> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick843@aol.com> 250 0 31 - - -

Mitglied: GuentherH
26.03.2013 um 20:59 Uhr
Hallo.

Vermutlich wurde einer eurer Accounts gehackt. Ändere alle Passwörter der angelegten Benutzer.
Sperre in den SMTP Einstellungen (Releaying) die Einstellung, dass authorisierte User Mails versenden können.

LG Günther
Bitte warten ..
Mitglied: Pjordorf
27.03.2013 um 01:44 Uhr
Hallo, auch an dich optimist2003,

Zitat von optimist2003:
Also vermute ich also einen Schädling am Server.
Denn kann man aber entfernen falls es wirklich einer sein sollte, oder?

Wie könnte ich diese IP 197.255.168.119 sperren?
Dann kann es kein Schädling auf deinen SBS sein, ausser dein SBS hat diese IP! wenn nict, dann kommt er von Aussen. Und diese IPs ändern sich schneller als du die sperren könntest. Da du aber nichts zu einem DSL Router / Modem / Firewall / ISA / UTM sagst, können wir dir nicht sagen wie du diese IP bei dir einfach sperren kannst.

197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
Definitiv ein Anmeldung von Aussen.
Zum hinwies von @GuentherH noch, schaue ins sicherheitsprotkoll. Dort wirst du vor diesem Zeitraum auf fehlgeschlagene Anmeldungen stosen und evtl. sogar das dann erfolgreich angemeldete Konto von euch (bei dem das Passwort per Brute Force oder schädling oder Social Engineering oder ablesen der Haftnotizen...) genutzt wird.

Gruß (auch an dich unbekannterweise),
Peter
Bitte warten ..
Mitglied: optimist2003
22.05.2013 um 07:59 Uhr
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.

Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".

Wieder was dazu gelernt.
Bitte warten ..
Mitglied: goscho
22.05.2013 um 09:28 Uhr
Moin
Zitat von optimist2003:
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.
Gut das der Fehler gefunden wurde.
Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".
Wenn dafür ein User benötigt wird, so würde ich einen weiteren erstellen, der scannen darf und dem keine Anmeldung über OWA/OMA erlaubt wird.
Bitte warten ..
Ähnliche Inhalte
E-Mail

Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann

Anleitung von LordGurkeE-Mail10 Kommentare

Wieso steht da unsere Domain im Absender? Das kann doch nicht sein! Die Absenderadresse einer E-Mail kann man genau ...

Windows Server

SBS2003 Migrationsfehler

Frage von japicoWindows Server4 Kommentare

Hallo Gemeinde, bin gerade dabei einen Betagten SBS2003 zu SBS2011 zu Migrieren. Leider bekomme ich folgende Fehlermeldung nicht in ...

Exchange Server

SBS2003 abschalten und gegen Server2012R2 ersetzen

gelöst Frage von takvorianExchange Server6 Kommentare

Hallo zusammen, habe einen 10 Jahre alten SBS2003 noch rumstehen der ersetzt werden muss. Der Exchange wird dort überhaupt ...

DNS

Dyndns easybox 904 sbs2003

gelöst Frage von x-zoomDNS5 Kommentare

Hallo - wir haben heute VDSL von Vodafone bekommen und als Router dazu die "EasyBox 904 xDSL" DynDNS und ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Windows Server
HyperV Failover Cluster Konzeption und Aufbau
Frage von snowboard86Windows Server5 Kommentare

Hallo liebe KollegInnen, Ich habe eine Frage zu Hyper V Failover-Clusters. Wir sind ein mittelständisches Handelsunternehmen und haben aktuell ...