Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2003 wird von Spammern missbraucht!

Frage Internet E-Mail

Mitglied: mwurster

mwurster (Level 1) - Jetzt verbinden

17.04.2005, aktualisiert 18.04.2005, 11355 Aufrufe, 6 Kommentare

Exchange 2003 wird von Spammern missbraucht!

Hallo Jungs,
habe hier ein ernstes Problem, irgendjemand missbraucht unseren Exchange 2003 zum spammen. Firewall hab ich Port 25 dicht gemacht, aber es kommen immer weiter noch Spams die über unseren Exchange verschickt werden.

Aktuellen Virendefinitionen und Virenscan haben ebenfalls kein Ergebnis gebracht. Habe jetzt als letzte Lösung den Exchange heruntergefahren. Wie kann ich herausfinden woher die Mails kommen und wie kann ich die wo noch in der Queue stehen löschen?

Bin für jeden Tipp dankbar.

Gruß Maik
Mitglied: Donnerwetter
17.04.2005 um 07:33 Uhr
Hallo,

den Exchange herunterfahren ist eine Sache, um dem ganzen aus demWeg zu gehen.

Ist jedoch nicht ganz so praktikabel.

Du hast die Möglichkeit beim Exchange 2003 festzulegen, wer über Deinen Server senden darf und wer nicht.

Und zwar findest Du die Einstellung bei den konfigurierten SMTP-Connectoren.
Hier wäre es wichtig, dass Du folgendes konfigurierst:

Nur Authentifizierte User dürfen über diesen Server senden.
Keinen Anonymous Zugriff gestatten oder senden ohne Anmeldung !

Sollte die Einstellung schon bestehen, so sieht es nach einem "Angriff" von innen aus.
D.h. einer Deiner Client-PC's sendet den Müll unter einem authentifizierten Account.


Sorge dafür, dass alle User den Outlook-Client geschlossen haben und sich keiner neu am Exchange von ausserhalb anmeldet.


Fahre den Server wieder hoch und deaktiviere erst einmal den/die SMTP-Connector/en.
Somit geht erst einmal nichts mehr raus, doch der Server nimmt locker flockig noch mails von aussen an.

Dann schaust Du Dir die Einstellung der SMTP-Connectoren in Ruhe an.
Prüfe die Konfiguration wie o.g. .

Schaue Dir die Mailboxen an und prüfe, ob es neue Anmeldungen gibt.
Evtl. kannst Du hierüber den internen Account herausfinden, der den Schaden anrichtet.
Dann schau Dir die IP-Verbindungen zum Server an, hiermit kannst Du auch den Client lokalisieren, der zum User passt.

Fahre diesen User-PC herunter. Schau nach ob die externe Mail-Queue noch weiter ansteigt.

Wenn nein, glück gehabt, Bösewicht gefunden.
Wenn ja, auf gleicher Weise weiter suchen.
Evtl. hat sich ein Wurm / Virus schon ein wenig verbreitet.


Hoffe, der Schnellschuß hilft Dir.

MfG

Donnerwetter
Bitte warten ..
Mitglied: phpchris
17.04.2005 um 09:34 Uhr
Auch ein Blick in die Header kann hilfreich sein:
Mail öffnen (nicht imm Vorschaufenster) -> Ansicht -> Optionen || bei Outlook.
Dann kannst du sehen, welchen Weg die E-Mail geht.

Wenn du Schwierigkeiten mit dem Header hast, poste ihn hier und wir schauen mal...
Bitte warten ..
Mitglied: mwurster
17.04.2005 um 18:04 Uhr
Hallo Jungs,
vielen Dank erstmal für eure Tips. Sämtliche Clients sind aus. Das ist ja das komische, also könnte es nur lokal direkt auf dem Server sein!?!

Kann ich denn irgendiwe die Mails, die in der Queue sind löschen? Ich mein da hängen jetzt noch 10000 Mails drin, die ich nicht unbedingt gerne versenden lassen würde.

Das "Problem" ist, ich habe auf dem selben Server noch einen IIS am laufen auf welchem unser Portal läuft und wo über die mail() function von PHP Mails versendet werden müssen. Aber da ich ja Port 25 auf der Firewall gesperrt ist, sollte es ja keinem möglich sein über unseren Mailserver mails versenden ausser lokal von diesem Mailserver aus.

Wäre super wenn mir jemand helfen könnte, gerne auch über Skype (maik.wurster) oder ICQ: 12278223

Danke vielmals im Voraus für die Hilfe!!!

Gruß Maik
Bitte warten ..
Mitglied: Donnerwetter
17.04.2005 um 21:07 Uhr
Hallo,

wie sieht es mit den anderen Servern aus, sind die clean?

Hast Du mal geschaut, welche IP-Verbindungen noch zum MailServer bestehen?

Steigt die Queue noch an?

Kann evtl. Dein IIS missbraucht worden sein um Spams über den Exchange zu senden.

Prüfe bitte mal Eure PHP-Scripte. Vielleicht ist dort auch eines zu viel oder abgeändert.

Ich kann gerade nicht an unseren Exchange ran um zu schauen wie man an die Queue kommt.

Doch schau mal bitte unter http://www.msexchangefaq.de, dort wirst Du bestimmt einen Beitrag zur SMTP-Queue finden. Sorry.

MfG

Donnerwetter
Bitte warten ..
Mitglied: mwurster
17.04.2005 um 23:57 Uhr
Es bestehen keine Verbindungen mehr zu dem Server. Zumindest zeigt mir Netstat keine mehr an. Es scheint als würden die Mails "lokal" verschickt zu werden.

Die Queue steigt ständig noch an. Die PHP-Scripte schauen alle sauber aus. Das war auch mein erster Gedanke. Ich habe zwar gefunden wo man die Queue löscht, aber das brignt nicht arg viel, weil sie ja ständig wieder ansteigt.

Habe die aktuelle Version von Mc Afee Antivirus Enterprise Edition v8.0i sowie AdAware Prof. installiert, sowie GFI Mail Essentials. McAfee sowie AdAware sagen, dass das System clean wäre. Die Virendefinitionen sind up2date.

Irgendjemand noch eine Idee, wie ich diese Mails stoppen kann?

Gruß Maik
Bitte warten ..
Mitglied: bos
18.04.2005 um 10:39 Uhr
Hi,

Dein Probleme hatte ich auch schon, bei mir haben sich 2 Exchange Server 1000000 E-mails gegenseitg zugesandt, aber es gibt ein Patch

gucke dir mal KB 835734 an, das hat bis jetzt geholfen.


Mfg BOS
Bitte warten ..
Ähnliche Inhalte
E-Mail
Account für SPAM missbraucht, Tipps parat?
Frage von d4shoerncheNE-Mail42 Kommentare

Guten Morgen, ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird ...

E-Mail
Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann
Anleitung von LordGurkeE-Mail10 Kommentare

Wieso steht da unsere Domain im Absender? Das kann doch nicht sein! Die Absenderadresse einer E-Mail kann man genau ...

Internet
500 Millionen Website-Nutzer für Kryptomining missbraucht
Information von BassFishFoxInternet5 Kommentare

Kann ich mir gut als Ersatz fuer die nervende Werbung vorstellen. Der Originalartikel ist hier. Vermutlich werden aber die ...

Exchange Server
Exchange 2003 (Windows Server 2003)
gelöst Frage von ET-StudentExchange Server6 Kommentare

Hallo alle zusammen ich hab auf einem alten Server Microsoft Server 2003 und Exchange 2003 installiert und es läuft ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...