2
Spamversand über Exchange 2003 von extern
Wie schon in der Überschrift, es befindet sich ein Exchange Server 2003 im Einsatz, davor eine ASA-Firewall. Vor ein paar Tagen verschickte irgendwer über den Exchange-Server massenhaft Spam von einer externen IP-Adresse. Daraufhin hatten wir in der Firewall für eingehende Verbindungen das SMTP-Protokoll für die externe IP-Adresse gesperrt - daraufhin war ruhe.
Nun tritt genau das gleiche Problem wieder auf, nur mit einer anderen, externen IP-Adresse. Jetzt frag ich mich, wie der Spamserver es schafft, über den Exchange massenhaft E-Mails zu verschicken.
Es ist kein offenes Relay vorhanden, ein Test auf http://www.rbl.jp/svcheck.php hat dies ebenfalls bestätigt.
Hat jemand noch eine Idee, wo das Problem liegen könnte?
Gruß
Nun tritt genau das gleiche Problem wieder auf, nur mit einer anderen, externen IP-Adresse. Jetzt frag ich mich, wie der Spamserver es schafft, über den Exchange massenhaft E-Mails zu verschicken.
Es ist kein offenes Relay vorhanden, ein Test auf http://www.rbl.jp/svcheck.php hat dies ebenfalls bestätigt.
Hat jemand noch eine Idee, wo das Problem liegen könnte?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189033
Url: https://administrator.de/contentid/189033
Printed on: April 19, 2024 at 23:04 o'clock
2 Comments
Latest comment
Hallo,
der Server ist mit Sicherheit gehackt worden.
Musst mal unter Verwaltung,Ereignisanzeige, Sicherheit schauen wer alles versucht
sich anzumelden.
Haben mit einer Kiste in Bosten das gleiche Problem, die Moehre gibt nichts her
ist nur fuer uns zum Testen. Haben den schon komplett bereinigt, Passwoerter geaendert aber heut Nacht war dann schon wieder Alarm.
Da hilft nur neu machen...
Gruss
der Server ist mit Sicherheit gehackt worden.
Musst mal unter Verwaltung,Ereignisanzeige, Sicherheit schauen wer alles versucht
sich anzumelden.
Haben mit einer Kiste in Bosten das gleiche Problem, die Moehre gibt nichts her
ist nur fuer uns zum Testen. Haben den schon komplett bereinigt, Passwoerter geaendert aber heut Nacht war dann schon wieder Alarm.
Da hilft nur neu machen...
Gruss
Hallo.
Deaktiviere einmal in den Relayeinstellungen, das authentifizierte Benutzer relayen dürfen. Wenn dann Ruhe ist, dann wurde wie oben beschrieben einer der Accounts gehackt.
Deaktiviere auch zur Vorsicht, dass bei den Computeraccounts tatsächlich nur diejenigen relayen dürfen, bei denen es auch notwendig ist. Also der Exchange selbst, und bei den es eben noch notwendig ist.
LG Günther
Deaktiviere einmal in den Relayeinstellungen, das authentifizierte Benutzer relayen dürfen. Wenn dann Ruhe ist, dann wurde wie oben beschrieben einer der Accounts gehackt.
Deaktiviere auch zur Vorsicht, dass bei den Computeraccounts tatsächlich nur diejenigen relayen dürfen, bei denen es auch notwendig ist. Also der Exchange selbst, und bei den es eben noch notwendig ist.
LG Günther
