17
Spamrechner finden
guten morgen zusammen,
ich habe momentan ein riesen problem mit unserem email versand.
wir haben einen 2003 standart server, sowie 17 pc in der domaine. (xp pro sp3)
laut unserem provider werden über unsere (feste)ip spam mails versendet.
auch auf ein paar blacklisten sind wir schon zu finden
problem ist das ich absolut nicht weis wie ich den auslöser finden soll.
als email programm nutzen wir tobit david10 dort ist aber nichts zufinden über irgendwelchen fremden email versand.
virenscanner habe ich über alle pcs laufen lassen sowie alle pcs bereinigt und auf den neusten stand gebracht.
trotzdem werden immer noch täglich weiter bei den blacklisten neu aufgelistet.
wie kann ich dem ganzen herr werden bzw. wie gehe ich am besten vor um den verursacher zu finden?
gruss
ich habe momentan ein riesen problem mit unserem email versand.
wir haben einen 2003 standart server, sowie 17 pc in der domaine. (xp pro sp3)
laut unserem provider werden über unsere (feste)ip spam mails versendet.
auch auf ein paar blacklisten sind wir schon zu finden
problem ist das ich absolut nicht weis wie ich den auslöser finden soll.
als email programm nutzen wir tobit david10 dort ist aber nichts zufinden über irgendwelchen fremden email versand.
virenscanner habe ich über alle pcs laufen lassen sowie alle pcs bereinigt und auf den neusten stand gebracht.
trotzdem werden immer noch täglich weiter bei den blacklisten neu aufgelistet.
wie kann ich dem ganzen herr werden bzw. wie gehe ich am besten vor um den verursacher zu finden?
gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 121534
Url: https://administrator.de/contentid/121534
Printed on: April 20, 2024 at 02:04 o'clock
17 Comments
Latest comment
Hallo,
wenn Ihr eine Firewall im Einsatz habt schau mal in die Log's.
Andreas
wenn Ihr eine Firewall im Einsatz habt schau mal in die Log's.
Andreas
Hängt euer STMP (Tobit) direkt im Web oder wie nehmt ihr die Emails an? Ich würde gucken ob dieses System ggf. bereits ein Offenes Relay ist (entsprechende Checks findest du auf vielen Blacklists-Servern -> die können dann deinen Server testen). Meistens ist es nämlich einfach so das der STMP falsch konfiguriert ist -> da brauchts keinen großen Virus o.ä. für ;)
hi
habe an der fw am server geschaut, dort finde ich nichts.
die clients haben nur die windwos fw.
und an den clients weis ich absolut nicht wie ich vorgehn soll bzw. wie ich auch 100% sicher sein kann das es genau der eine rechner ist bzw genau das problem ist es.
ist alles nur schätzen und raten im moment bei mir
gruss
habe an der fw am server geschaut, dort finde ich nichts.
die clients haben nur die windwos fw.
und an den clients weis ich absolut nicht wie ich vorgehn soll bzw. wie ich auch 100% sicher sein kann das es genau der eine rechner ist bzw genau das problem ist es.
ist alles nur schätzen und raten im moment bei mir
gruss
ja , der server hängt direkt im web.
bin zwar leihe was die gante spam sache angeht, werde aber mal im inet nach einem test schauen.
gruss
bin zwar leihe was die gante spam sache angeht, werde aber mal im inet nach einem test schauen.
gruss
die frage ist eher wie ist euer exchange abgesichert kann man da mit telnet von internet auf port 25 drauf.
was macht der exchange wenn ein unautorisierter benutzer ne mail auf ihn sendet.
wie ist die verbindung von euch zum provieder. sendet ihr direct oder über den provieder. wie wird da die verbindung gesichert.
kann man wenn man das smtp konto des providers weis mails unautorisiert schicken .
also meine meinung ist nicht das deine clients ein problem haben meine meinung ist das die verbindung zwischen exchange und provider.
was macht der exchange wenn ein unautorisierter benutzer ne mail auf ihn sendet.
wie ist die verbindung von euch zum provieder. sendet ihr direct oder über den provieder. wie wird da die verbindung gesichert.
kann man wenn man das smtp konto des providers weis mails unautorisiert schicken .
also meine meinung ist nicht das deine clients ein problem haben meine meinung ist das die verbindung zwischen exchange und provider.
exchange nutzen wir ja nicht sondern tobit.
aber müsste dann nicht im protokoll zumindest die mail drinstehen die versendet wird?
dort stehen nur mails die da auch hinsollen.
open relay test sagt folgendes als ergebniss:
Relay test result
All tests performed, no relays accepted.
gruss
aber müsste dann nicht im protokoll zumindest die mail drinstehen die versendet wird?
dort stehen nur mails die da auch hinsollen.
open relay test sagt folgendes als ergebniss:
Relay test result
All tests performed, no relays accepted.
gruss
emails versenden tun wir direkt ohne einen provider dazwischen.
Moin,
Die nimmst du mal und läßt Sie auf einem Rechner nach dem anderen laufen - und brichst nach 10 minuten ab.
Vorher natürlich \\server\freigabe anpassen.
So solltest du recht schnell die Spamschleuder auch ohne echtes sniffen finden. (derjeinige welcher schreibt in die Log was rein- was niemand verschickt hat)
btw. Alle Winblowspatche installiert?
den kennst du und auch schon laufen lassen?
gruß
:start
netstat |find ":25" >>\\server\freigabe\%computername%.log
ping -n 10 127.0.0.1
goto startDie nimmst du mal und läßt Sie auf einem Rechner nach dem anderen laufen - und brichst nach 10 minuten ab.
Vorher natürlich \\server\freigabe anpassen.
So solltest du recht schnell die Spamschleuder auch ohne echtes sniffen finden. (derjeinige welcher schreibt in die Log was rein- was niemand verschickt hat)
btw. Alle Winblowspatche installiert?
den kennst du und auch schon laufen lassen?
gruß
danke ,werde es direkt mal testen
Moin Misha,
wenn alle Stricke reißen müßtest du deinen Trafifc sniffen.
Aber erst solltest du die Standartprüfungen , Vorredner, durchziehen und ev. mal posten ....
wenn alle Stricke reißen müßtest du deinen Trafifc sniffen.
Aber erst solltest du die Standartprüfungen , Vorredner, durchziehen und ev. mal posten ....
mit einem sniffer habe ich es schon versucht, das waren aber soviele daten das ich schlichtweg überfordert war .-)
werde später erstmal die anderen sachen durchgehn und die ergebnisse hier posten.
danke und gruss
werde später erstmal die anderen sachen durchgehn und die ergebnisse hier posten.
danke und gruss
Teste mal hier :
http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-bla ...
und .... wäre nicht schlecht wenn dein Provider eine von den "Spam"-Mails mal abfischt und du dir den Header anschaust.
http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-bla ...
und .... wäre nicht schlecht wenn dein Provider eine von den "Spam"-Mails mal abfischt und du dir den Header anschaust.
Hallo,
dann würde ich erstmal den Port 25 ausgehend in der FW für alle außer den Mailserver sperren. Dann kannst Du in Ruhe suche, ohne auf allen Blacklists dieser Welt zu landen. Denn es ist jan nicht gesagt, dass der Tobis als internes Relay genutzt wird.
dann würde ich erstmal den Port 25 ausgehend in der FW für alle außer den Mailserver sperren. Dann kannst Du in Ruhe suche, ohne auf allen Blacklists dieser Welt zu landen. Denn es ist jan nicht gesagt, dass der Tobis als internes Relay genutzt wird.
nicht gesagt, dass der Tobit als internes Relay genutzt wird.
Jep, das vermute ich nämlich auch.
ok, das ganze scheint sich erledigt zu haben.
habe diverse virenscanner drüber laufen lassen , alles nochmal neu upgedatet und 2 pcs die mir riskannt schienen neu aufgesetzt.
von den blacklisten ist nur noch eine einzige überig und das wird auch noch .)
direkt eine frage noch dazu:
ich würde gerne trotzdem von den client pcs port 25 sperren nur wie ohne großen aufwand? bei win geht es ja nur andersrum, d.h. alles dicht und bestimmt ports offen.
eine freeware fw macht die nutzer nur verrückt durch fensterchen die dauernd aufgehn usw.
gibt es eine einfache möglichkeit nur den port 25 schnell und unkompliziert ausser gefecht zu setzen?
und schonmal danke an alle die so nett geholfen haben.
gruss
habe diverse virenscanner drüber laufen lassen , alles nochmal neu upgedatet und 2 pcs die mir riskannt schienen neu aufgesetzt.
von den blacklisten ist nur noch eine einzige überig und das wird auch noch .)
direkt eine frage noch dazu:
ich würde gerne trotzdem von den client pcs port 25 sperren nur wie ohne großen aufwand? bei win geht es ja nur andersrum, d.h. alles dicht und bestimmt ports offen.
eine freeware fw macht die nutzer nur verrückt durch fensterchen die dauernd aufgehn usw.
gibt es eine einfache möglichkeit nur den port 25 schnell und unkompliziert ausser gefecht zu setzen?
und schonmal danke an alle die so nett geholfen haben.
gruss
Hallo,
wir kennen deine Systemlandschaft nicht, aber es wird doch vor dem Internetzugang eine zentrale Firewall hängen, oder? Dort kannst Du für alle außer dem Mailserver den Port 25 sperren.
wir kennen deine Systemlandschaft nicht, aber es wird doch vor dem Internetzugang eine zentrale Firewall hängen, oder? Dort kannst Du für alle außer dem Mailserver den Port 25 sperren.
