Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Excange versendet Spam

Frage Microsoft Exchange Server

Mitglied: amgm2006

amgm2006 (Level 1) - Jetzt verbinden

03.07.2011 um 15:57 Uhr, 4714 Aufrufe, 14 Kommentare

Hallo,

habe gerade ein Problem bei einem Kunden.
Der Exchange Server (2003) versendet seit kurzem Spam-Mails.
Da gerade alle anderen Rechner aus sind kommt nur noch der Server selbst in frage.

Auf einen Opern Relay habe ich ihn schon getestet. Ist soweit auch ok.

Wollte es mal mit der Nachrichtenverfolgung probieren. Leider bekomme ich dort beim versuch sie zu aktivieren immer "Zugriff verweigert"

Jetzt versuche ich die quelle des Übels zu finden und brauche da mal etwas Hilfe.

Für Hilfe währe ich euch sehr dankbar.

MFG
Mitglied: GuentherH
03.07.2011 um 16:26 Uhr
Hallo.

- Stoppe den virtuellen SMTP und schau dann in der Queue nach, um welche Mail es sich handelt, bzw. bereinige die SMTP Queue
- Wenn du das SMTP Logging aktiviert hast, überprüfe auch hier was der virtuelle SMTP macht.

LG Günther
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 16:33 Uhr
Hi,

ich habe den queue eben mal umbenannt und eine neue Queue erzeugt um die Warteschlange auf Null zu setzen.
Das SMTP Logging ist aktiviert verstehe aber nicht so was da drin steht.

Die meisten Emails stammen von einem gewissen "Tony Anderson"

Hilft das weiter?
Wonach muss ich im Protokoll suchen?

LG Alex
Bitte warten ..
Mitglied: GuentherH
03.07.2011 um 17:16 Uhr
Hi.

Die meisten Emails stammen von einem gewissen "Tony Anderson"

Post doch einmal den Header eines dieser Mails.

LG Günther
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 17:34 Uhr
Received: from User ([41.203.64.253]) by mail2.KUNDENDOMAIN.de with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 30 Jun 2011 19:23:32 +0200
Reply-To: <tony515and@gmail.com>
From: "Tony Anderson"<tony_cooper213@earthlink.net>
Subject: Immediate response
Date: Thu, 30 Jun 2011 18:23:31 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: tony_cooper213@earthlink.net
Message-ID: <{KUNDENSERVER}RFWMozg000025e5@mail2.{KUNDENDOMAIN}.de>
X-OriginalArrivalTime: 30 Jun 2011 17:23:33.0655 (UTC) FILETIME=[70354A70:01CC374A]

Dear Friend,

I have a profiling amount of secured in an offshore private bank. I am seeking your assistance in securing these funds into a safe account for future investment purposes/the purchase of properties in your country, but requiring maximum confidentiality. This is borne out of the fact that I am still in active service in the Ministry here in Scotland-UK.Upon your positive response to my proposal, I will provide you with the following information:

How I will introduce you/your company to the holding bank and make you the beneficiary of the money.

What percentage of the money I am willing to give you for your assistance.

Kindly respond with your Mobile phone, fax numbers and contact address for easier and faster
communication.

Tony Anderson




die in {} Klammern gesetzten Bezeichnungen habe ich geändert sind Kundendomain und Servername


Aus der Logdate zu dem zeitpunkt:

17:23:33 195.54.106.239 - - 0
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 75.180.132.243 - - 0
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 75.180.132.243 - - 0
17:23:33 75.180.132.243 RSET - 0
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 75.180.132.243 - - 0
17:23:33 75.180.132.243 MAIL - 0
17:23:33 65.55.88.22 - - 0
17:23:33 65.55.88.22 EHLO - 0
17:23:33 41.203.64.253 RCPT - 250
17:23:33 174.122.2.226 - - 0
17:23:33 174.122.2.226 EHLO - 0
17:23:33 75.180.132.243 - - 0
17:23:33 75.180.132.243 RCPT - 0
17:23:33 41.203.64.253 MAIL - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 RCPT - 250
17:23:33 65.55.88.22 - - 0
17:23:33 65.55.88.22 MAIL - 0
17:23:33 63.241.31.147 - - 0
17:23:33 63.241.31.147 EHLO - 0
17:23:33 41.203.64.253 RCPT - 250
17:23:33 41.203.64.253 MAIL - 250
17:23:33 174.122.2.226 - - 0
17:23:33 174.122.2.226 MAIL - 0
17:23:33 75.180.132.243 - - 0
17:23:33 75.180.132.243 RSET - 0
17:23:33 41.203.64.253 RCPT - 250
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 19:12 Uhr
Und noch ne etwas bessere Logdatei:

7-03 16:32:20
#Fields: date time c-ip cs-username s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 220+mx0.gmx.net+GMX+Mailservices+ESMTP+{mx093} 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionCommand {kundenserver} - 25 EHLO - mail2.{kundendomain} 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 250-mx0.gmx.net+GMX+Mailservices 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionCommand {kundenserver} - 25 MAIL - FROM:<reiss@{kundendomain}> 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 250+2.1.0+ok+{mx093} 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionCommand {kundenserver} - 25 RCPT - TO:<TobiasMeyer@gmx.de> 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 250+2.1.5+ok+{mx093} 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionCommand {kundenserver} - 25 DATA - - 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 354+mx0.gmx.net+Go+ahead+{mx093} 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 250+2.6.0+Message+accepted+{mx093} 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionCommand {kundenserver} - 25 QUIT - - 0 0 SMTP - - - -
2011-07-03 16:32:20 213.165.64.100 OutboundConnectionResponse {kundenserver} - 25 - - 221+2.0.0+GMX+Mailservices+{mx093} 0 0 SMTP - - - -
2011-07-03 16:36:59 200.99.91.130 [200.99.91.130] {kundenserver} 10.0.50.9 0 EHLO - +[200.99.91.130] 250 0 SMTP - - - -
2011-07-03 16:36:59 200.99.91.130 [200.99.91.130] {kundenserver} 10.0.50.9 0 MAIL - +From:<rsciannaca@provincia.trapani.it> 250 0 SMTP - - - -
2011-07-03 16:36:59 200.99.91.130 [200.99.91.130] {kundenserver} 10.0.50.9 0 RCPT - +To:<weber@{kundendomain}> 250 0 SMTP - - - -
2011-07-03 16:37:00 200.99.91.130 [200.99.91.130] {kundenserver} 10.0.50.9 0 DATA - +<984A93CA944113CD1FC69FC11446984A@provincia.trapani.it> 250 0 SMTP - - - -
2011-07-03 16:37:00 200.99.91.130 [200.99.91.130] {kundenserver} 10.0.59.1 0 QUIT - [200.99.91.130] 240 1844 SMTP - - - -
2011-07-03 16:53:06 196.218.42.173 [196.218.42.173] {kundenserver} 10.0.59.1 0 EHLO - +[196.218.42.173] 250 0 SMTP - - - -
2011-07-03 16:53:06 196.218.42.173 [196.218.42.173] {kundenserver} 10.0.59.1 0 MAIL - +From:<geloslack@dbsconsult.co.uk> 250 0 SMTP - - - -
2011-07-03 16:53:06 196.218.42.173 [196.218.42.173] {kundenserver} 10.0.59.1 0 RCPT - +To:<y-hendrix@{kundendomain}> 250 0 SMTP - - - -
2011-07-03 16:53:06 196.218.42.173 [196.218.42.173] {kundenserver} 10.0.59.1 0 DATA - +<002001cc3999$057d4105$d542c4b5@xlmvurt> 250 0 SMTP - - - -
2011-07-03 16:53:06 196.218.42.173 [196.218.42.173] {kundenserver} 10.0.59.1 0 QUIT - [196.218.42.173] 240 703 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 220+mx3.messagingengine.com+ESMTP+.+No+UCE+permitted. 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionCommand {kundenserver} - 25 EHLO - mail2.{kundendomain} 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 250-mx3.messagingengine.com 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionCommand {kundenserver} - 25 MAIL - FROM:<>+SIZE=3179 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 250+2.1.0+Ok 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionCommand {kundenserver} - 25 RCPT - TO:<geloslack@dbsconsult.co.uk> 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 250+2.1.5+Ok 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionCommand {kundenserver} - 25 DATA - - 0 0 SMTP - - - -
2011-07-03 16:53:08 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 354+End+data+with+<CR><LF>.<CR><LF> 0 0 SMTP - - - -
2011-07-03 16:53:09 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 250+2.0.0+Ok:+queued+as+E212822017D 0 0 SMTP - - - -
2011-07-03 16:53:09 66.111.4.72 OutboundConnectionCommand {kundenserver} - 25 QUIT - - 0 0 SMTP - - - -
2011-07-03 16:53:09 66.111.4.72 OutboundConnectionResponse {kundenserver} - 25 - - 221+2.0.0+Bye 0 0 SMTP - - - -
2011-07-03 16:53:09 190.234.248.46 [190.234.248.46] {kundenserver} 10.0.59.1 0 EHLO - +[190.234.248.46] 250 0 SMTP - - - -
2011-07-03 16:53:09 190.234.248.46 [190.234.248.46] {kundenserver} 10.0.59.1 0 MAIL - +From:<aerts@courseware.nl> 250 0 SMTP - - - -
2011-07-03 16:53:09 190.234.248.46 [190.234.248.46] {kundenserver} 10.0.59.1 0 RCPT - +To:<uucp@{kundendomain}> 250 0 SMTP - - - -
2011-07-03 16:53:10 190.234.248.46 [190.234.248.46] {kundenserver} 10.0.59.1 0 DATA - +<4DEFA06CD4022318BAF5398157764DEF@courseware.nl> 250 0 SMTP - - - -
2011-07-03 16:53:10 190.234.248.46 [190.234.248.46] {kundenserver} 10.0.59.1 0 QUIT - [190.234.248.46] 240 1547 SMTP - - - -
Bitte warten ..
Mitglied: filippg
03.07.2011 um 19:25 Uhr
Hallo,

Received: from User ([41.203.64.253]) by mail2.KUNDENDOMAIN.de with Microsoft SMTPSVC(6.0.3790.4675);
sagt schon alles. Dein Server bekommt die Spammails von 41.203.64.253. Dein Server ist also doch ein open Relay.

Gruß

Filipp
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 19:30 Uhr
Hi,
Danke für die info Filipp.

Laut -> http://www.abuse.net/relay.html sollte es nicht so sein.

wie schliesse ich die lücke am besten?????

LG Alex

PS:

das ergebnis von http://www.mxtoolbox.com

220 mail2.KUNDENDOMAIN.de Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Sun, 3 Jul 2011 19:59:15 +0200

OK - 80.XXX.XXX.X resolves to mail3.KUNDENDOMAIN.de
Warning - Reverse DNS does not match SMTP Banner
0 seconds - Good on Connection time
Not an open relay.
1.123 seconds - Good on Transaction time

Session Transcript:
HELO please-read-policy.mxtoolbox.com
250 mail2.KUNDENDOMAIN.de Hello [64.20.227.133] [187 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 2.1.0 supertool@mxtoolbox.com....Sender OK [281 ms]
RCPT TO: <test@example.com>
550 5.7.1 Unable to relay for test@example.com [156 ms]
QUIT
221 2.0.0 mail2.KUNDENDOMAIN.de Service closing transmission channel [172 ms]
Bitte warten ..
Mitglied: GuentherH
03.07.2011 um 20:11 Uhr
Hallo.

- führe einmal damit einen OpenRelay Test durch - http://www.mxtoolbox.com/diagnostic.aspx
- deaktivere in den Einstellungen des virtuellen SMTP, dass authentifizierte User relayen dürfen

LG Günther
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 20:20 Uhr
Das kam dabei raus:

OK - 80.XXX.XXX.X resolves to mail3.KUNDENDOMAIN.de
Warning - Reverse DNS does not match SMTP Banner
0 seconds - Good on Connection time
Not an open relay.
1.014 seconds - Good on Transaction time

Session Transcript:
HELO please-read-policy.mxtoolbox.com
250 mail2.KUNDENDOMAIN.de Hello [64.20.227.133] [172 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 2.1.0 supertool@mxtoolbox.com....Sender OK [187 ms]
RCPT TO: <test@example.com>
550 5.7.1 Unable to relay for test@example.com [172 ms]
QUIT
221 2.0.0 mail2.KUNDENDOMAIN.de Service closing transmission channel [156 ms]]
Bitte warten ..
Mitglied: GuentherH
03.07.2011 um 20:27 Uhr
Hallo.

deaktivere in den Einstellungen des virtuellen SMTP, dass authentifizierte User relayen dürfen

Dann führe das durch.

LG Günther
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 20:29 Uhr
- deaktivere in den Einstellungen des virtuellen SMTP, dass authentifizierte User relayen dürfen



welche Einstellung genau ist gemeint ?
Bitte warten ..
Mitglied: amgm2006
03.07.2011 um 20:31 Uhr
das häkchen bei "relayeinschränkungen --> jeder computer, der erfolgreich ................................." rausnehmen?
Bitte warten ..
Mitglied: amgm2006
04.07.2011 um 08:14 Uhr
Habe jetzt gerade gesehen, das die mails die nicht über mx.expurgate.net reikommen auch als spam weitergeleitet werden

Wie kann ich das vermeiden?
Bitte warten ..
Mitglied: amgm2006
04.07.2011 um 12:46 Uhr
hat keiner ne idee ?????????????
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Spam von einem Excange 2003
Frage von alexohlExchange Server2 Kommentare

Hallo, habe hier ein Problem mit einem Exchange 2003. und zwar kommt es alle paar Tage mal zu einem ...

Viren und Trojaner
Mein Rechner versendet spam
Frage von mtrieblerViren und Trojaner2 Kommentare

An vielen failure-notices habe ich festgestellt, daß ich (mein Rechner okkupiert worden ist und Spam versendet. Was kann ich ...

E-Mail
Server versendet SPAM
Frage von taschaueE-Mail19 Kommentare

Hallo, ich habe folgendes Problem: unser ISP hat mich kontaktiert, dass anscheinend von einer unserer öffentlichen IP (80.90.100.x) SPAM ...

Erkennung und -Abwehr
Versendete Spams an Outlook Kontakte - Ursachenforschung
Frage von rickstinsonErkennung und -Abwehr6 Kommentare

Hallo, wir haben nun bei zwei Kunden das Problem dass Spam Mails an Firmenkontakte versandt wurden (die sich im ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 1 StundeVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 12 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 14 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...