Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Spamversand. Wie krieg ich den Übeltäter?

Mitglied: Natscho21

Natscho21 (Level 1) - Jetzt verbinden

23.11.2010, aktualisiert 16:21 Uhr, 7203 Aufrufe, 9 Kommentare

Ich habe ein Problem, dass ein Mailserver unseres Kunden Spams versendet. Es handelt sich um einen Exchange Server 2003. E-Mail Direktempfang ist eingerichtet.

Ich habe alles so eingerichtet wie hier beschrieben http://www.msxfaq.de/notfall/relay.htm. Um es zu checken habe ich hier http://www.mxtoolbox.com/ geprüft ob der Mailserver ein openRelay ist. Ist er aber nicht.

In den Mails, die der Mailserver versenden will steht folgendes im Header:

Received: from onlineupdate.com ([75.144.37.34]) by DNSNameDesKunden with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 22 Nov 2010 10:44:13 +0100
From: PayPal <security@onlineupdate.com>
To: corsanmtl@videotron.ca
Subject: *PayPal Payment Confirmation/Shipping Tracking Number Needed*
Date: 22 Nov 2010 03:44:10 -0600
Message-ID: <20101122034410.3966AA685DE2B8DC@onlineupdate.com>

Das weißt doch eigentlich auf ein Relay hin oder? Die andere Variante ist, dass ja das sich einer authentifiziert, aber wie krieg ich das raus mit welchem User die sich dort authenfizieren?

Vielen Dank für eure Hilfe!

Gruß
Natscho
Mitglied: kaiand1
23.11.2010 um 16:45 Uhr
Moin
Poste einfach mal den ganzen Header, dort steht sehr viele Infos.
Das was du gepostet hast deutet nur hin das die Mail von onlineupdate.com gekommen ist als letzter Server.
Bitte warten ..
Mitglied: Natscho21
23.11.2010 um 16:53 Uhr
Hi, anbei der ganze Header:

Received: from onlineupdate.com ([75.144.37.34]) by DNSdesKunden with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 22 Nov 2010 10:44:13 +0100
From: PayPal <security@onlineupdate.com>
To: corsanmtl@videotron.ca
Subject: *PayPal Payment Confirmation/Shipping Tracking Number Needed*
Date: 22 Nov 2010 03:44:10 -0600
Message-ID: <20101122034410.3966AA685DE2B8DC@onlineupdate.com>
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Return-Path: security@onlineupdate.com
X-OriginalArrivalTime: 22 Nov 2010 09:44:13.0474 (UTC) FILETIME=[D22E6820:01CB8A29]

<html>
<title>*PayPal Payment Confirmation/Shipping Tracking Number Needed*</ti=
tle>
<FONT face=3DVerdana size=3D2>Dear PayPal Member,<br>
<br>

Mehr ist leider nicht aus der Mail rauszuholen nachdem ich sie aus der Queu rausgenommen habe.

Danke für deine Hilfe!
Gruß
Natscho
Bitte warten ..
Mitglied: ollembyssan
23.11.2010 um 16:56 Uhr
Hallo,

nun ja, der Header sagt aus, dass der Exchange die Mail angenommen hat.
Die Mail geht wohl an eine "nicht akzeptierte Domäne", da ich nicht denke, dass du die domäne videotron.ca verwaltest

Erweiterter Header wäre sinnvoll wie kaiand1 schon geschrieben hat, außerdem kannst du über nachrichtenstatus die nachricht verfolgen (messagetracking) in exchange 2003.
Bitte warten ..
Mitglied: Natscho21
23.11.2010 um 17:13 Uhr
Hi,

recht haste, die domain videotron.ca verwalte ich nicht

Mit einem erweiterten Header kann ich leider nicht dienen. Das ist alles was ich aus der Nachricht rauskitzeln konnte, sowohl über die möglichkeiten in Outlook Express, als auch das was mir angezeigt wird, wenn ich die Datei mit einem Editor öffne.

Im Nachrichten Status sehe ich nur das die ERstellungszeit der 22.11. um 10:44 war. Abesender und Empfänger stimmen mit dem im Header geposteten überein. Der Nachrichtenverlauf zeigt nur auf, dass er sie
10:44 1. Nachricht an Warteschlangenmechanismus übermittelt.
10:44 2. Übermittlung an erweitertem Warteschlangenmechanismus begonnen
10:44 3. an Kategorisierungmodul
10:44 4. kategorisiert und zur weiterleitung an die Warteschlange gestellt
10:44 5. Nachricht wurde weitergeleitet udn zur Remoteübermittlung in die Warteschlange gestellt.
11:21 6. Beginn der ausgehenden Übermittlung
11:21 7. Nachricht mittels SMTP übertragen
11:36 8. Beginn der ausgehenden Übermittlung
11:36 9. Nachricht mittels SMTP übertragen

Das war es, dann habe ich die Mail aus der Queue genommen.

Ich bin für jede Idee offen

Gruß
Thorsten
Bitte warten ..
Mitglied: ollembyssan
23.11.2010 um 20:39 Uhr
Hallo Natscho,

das sieht allerdings schon so aus, als ob dein Exchange-Server hat offenes Relay darstellt, stimmst du mir da zu, oder?
Hast du einmal von intern getestet, ob dein Exchange als solcher reagiert, mittles Befehlszeilentool und Telnet per SMTP?

Ansonsten, da ich deine Konfiguration nicht kenne, solltest du deine akzeptierten Domänen überprüfen und ggf. Spamfilter in Exchange 2003 aktivieren, falls noch nicht geschehen.

Spamfilter im Exchange 2003 im System-Manager, Globale-Einstellungen, Eigenschaften der Nachrichtenübermittlung.
Unter Administrative Gruppen <Name der Gruppe>, Server, <Name des Servers>, Protokolle, SMTP, Virtueller Standardserver für SMTP
müssen die jeweiligen Filter noch aktiviert werden!

Wachsen Transaktionsprotokolle auf dem Exchange rapide an?, Transaktionsprotokolle unter Exchange 2003 haben eine Größe von 5MB, falls dein Exchange ein Offenes-Relay darstellt, kannst du nachsehen, wie schnell die Transaktionsprotokolle in der Menge ansteigen, welches ein erstes Anzeichen für ein Offenes-Relay darstellt.

Gruß,

Ole
Bitte warten ..
Mitglied: Natscho21
01.12.2010 um 10:24 Uhr
Hi,

ich habe zwischenzeitlich eine Änderung vorgenommen. Auf dem SMTP Connector war der Exchange Server der als einziger als Relay eingetragener Server (wegen sendmail tool). Dort habe ich auch ihn entfernt und seit dem hat er keine Spams mehr versand.

Per Telnet konnte ich von aussen keine mails senden (unable to relay).

Ich werde das ganze die nächsten Tage weiter beobachten.

Danke für eure Hilfe.

Gruß
Natscho
Bitte warten ..
Mitglied: Natscho21
14.12.2010 um 16:35 Uhr
Hi zusammen,

leider macht er es schon wieder:

2010-12-14 0:6:59 GMT 216.13.129.42 onlineupdate.com and/or Kundenserver 10.0.0.5 jstuckart2@new.rr.ca 1031 20101213080208.80916644F0333D82@onlineupdate.com 0 0 12709 1 2010-12-13 13:2:32 GMT 0 Version: 6.0.3790.3959 - Receipt for Your Payment to Plimus Ltd. security@onlineupdate.com -

Das kann meiner Meinung nach doch nur bedeuten, dass sich die IP 216.13.129.42 rechtmäßig authentifiziert, oder? Ich weiß nur noch nicht ob und wenn wo ich sehen kann mit welchem User sich da authentifiziert wird....

Weiß einer ob ich das irgendwo prüfen kann? BTW: Was erweiterte logging habe ich aktiviert, aber im Ereignisprotokoll seh ich leider nichts.

Vielen Dank
Gruß
Natscho
Bitte warten ..
Mitglied: Natscho21
14.12.2010 um 16:58 Uhr
Hi,

der Filter ist aktiviert. Allerdings war die Absenderkennungsfilerung (Globale Einstellung/Nachrichtenübermittlung) auf Annehmen gestellt. Ich das jetzt mal auf Ablehnen gestellt.

Danke für den Hinweis.

Gruß
Natscho
Bitte warten ..
Ähnliche Inhalte
E-Mail
Kriege emails nicht wenn ich im CC bin
gelöst Frage von hepatocytE-Mail43 Kommentare

Hallo, auf der Arbeit versendet ein Mitarbeiter Emails mit Terminen für Treffen. Ich weiss, dass er mich von diesen ...

LAN, WAN, Wireless

IPSec Netz zu Netz - ich krieg es nicht hin

gelöst Frage von FA-jkaLAN, WAN, Wireless9 Kommentare

Hallo, ich habe mir eine IPSec Netz zu Netz Verbindung eingerichtet. Dabei hängt ein Cop ("tor") direkt im Internet, ...

Windows Netzwerk

Kriege keine VPN Verbindung hin

Frage von cheweeWindows Netzwerk73 Kommentare

Hallöle, wie der Titel verrät, brauch ich ein bisschen Hilfe. Zu meiner Umgebung : Ich habe einen Windows Server ...

Windows Server

KB3035583 nicht in den WSUS zu kriegen!

gelöst Frage von departure69Windows Server7 Kommentare

Hallo. Ich aktualisiere sämtliche Clients und Server in unserem Laden per WSUS. An Produkten und Klassifizierungen sind genau diejenigen ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 8 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 14 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Visual Studio
Singletone Objekt in Datei speichern
gelöst Frage von it4baerVisual Studio13 Kommentare

Hallo, ist es möglich ein Singleton-Objekt zu "serialisieren" und dann in eine Datei zu speichern um es später wieder ...