Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2003 - Warteschlange voll mit fremden Absendern

Frage Microsoft Exchange Server

Mitglied: detlef1

detlef1 (Level 1) - Jetzt verbinden

08.10.2008, aktualisiert 14.10.2008, 5256 Aufrufe, 5 Kommentare

Hallo Leute,

mein Exchange Server versendet Mails, die als Absender völlig wilde Domänen haben (aol.com; info.com; secure.net).
Es sieht so aus als wäre mein Server ein Open Relay.
Das habe ich aber schon dicht gemacht. Genauso wie alle Filter von Exchange eingeschaltet (Empfängerfilter, Absenderfilter).
NDRs sind meines Wissens auch deaktiviert (Absendererkennungsfilterung, Internet-Nachrichtenformate).

In der Servername.log Datei habe ich folgendes festgestellt:
2008-10-2 11:57:42 GMT 79.139.151.22 xlr1910 - SERVERNAME 172.20.XX.XX annie_988@hotmail.com 1031 9662ch63812uwva3098llv9715ca@xlr1910 0 0 1599 26 2008-10-2 11:55:17 GMT 0 Version: 6.0.3790.3959 - A stranger you were once. xlr1910@sbcglobal.net -

Wenn ich das richtig deute, bedeutet dieser Eintrag doch, dass jemand von der IP 79.139.151.22 eMails über meinen Server an annie_988qhotmail.com schickt.

Ich habe schon gegoogelt, aber nichts gefunden.
Wie kann ich herausfinden von wem die Mails versendet werden?
Es muss ja wohl irgendein Benutzerkonto gehackt worden sein.

Hoffentlich kann mir jemand helfen.

Ach ja. Ist ein Windows Server 2003 mit Exchange 2003 SP2
Mitglied: schiffmeister
08.10.2008 um 15:09 Uhr
Mahlzeit,

hört sich alles garnicht gut an... garnicht gut...
Lad dir mal bei Microsoft das "Exchange 2003 Sicherheitshandbuch" runter. Eine sehr gute Grundlagen um deinen Exchange zu härten!

Gruss
Daniel
Bitte warten ..
Mitglied: detlef1
08.10.2008 um 15:35 Uhr
Ok, vielen Dank.
Ich habe mir das Sicherheitshandbuch geladen.
Auch ein paar Einstellungen gemacht. Ich hoffe jetzt ist endlich Ruhe.

Wenn nicht, melde ich mich wieder.

Gruß
Benedikt
Bitte warten ..
Mitglied: detlef1
09.10.2008 um 07:40 Uhr
Leider hat es nichts gebracht.
Es sind wieder Mails in der Warteschlange.

Hat denn keiner eine Idee?
Kann ich in Exchange nicht irgendwo einstellen, dass die Absenderadresse nur @meine-domäne.de sein darf?

Ist vielleicht ein Virus schuld?

Gruß
Benedikt
Bitte warten ..
Mitglied: schiffmeister
10.10.2008 um 17:53 Uhr
Hi,

jetzt kommt es darauf an, welche Einstellungen du bei deinem Exchange jemals vorgenommen hast. Denn eigentlich ist der Exchange von Haus aus kein "Open Relay".
Vergleich doch mal in der Logdatei einen "normalen" Sendevorgang mit dem eines wie du meinst "spamers"

2008-10-2 11:57:42 GMT 79.139.151.22 xlr1910 - SERVERNAME 172.20.XX.XX annie_988@hotmail.com 1031 9662ch63812uwva3098llv9715ca@xlr1910 0 0 1599 26 2008-10-2 11:55:17 GMT 0 Version: 6.0.3790.3959 - A stranger you were once. xlr1910@sbcglobal.net -

Ich habe gerade kein Logfile zur Hand mit dem ich vergleichen könnte. Auch habe ich die Syntax des Logfiles nicht im Kopf.
Bitte warten ..
Mitglied: detlef1
14.10.2008 um 10:07 Uhr
Hallo,

hier ist mal ein Log von einer ausgehenden echten Mail:

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1027 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - c=us;a= ;p=DOMÄNE;l=SERVERNAME-081014072927Z-15 Cash DPH 14.10.08 EX:/O=DOMÄNE/OU=ERSTE ADMINISTRATIVE GRUPPE/CN=RECIPIENTS/CN=SENDER_USER -

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1019 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1025 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1024 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 - -

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1033 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1034 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -

2008-10-14 7:29:27 GMT - - - SERVERNAME - empfänger@domäne.de 1020 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -

2008-10-14 7:29:27 GMT - - EMPFÄNGERSERVER SERVERNAME - empfänger@domäne.de 1031 24C6119B6350F34DB08767F9CD21CADB387A5F@SERVERNAME 0 0 396689 1 2008-10-14 7:29:27 GMT 0 - - Cash DPH 14.10.08 ABSENDER@SERVERNAME.de -


Das sieht aber ganz anders aus.
Das erste Log ähnelt eher einer eingehenden Mail.
Trotzdem ist der Empfänger z. B. @yahoo.com.

Gruß
Benedikt
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2007 Warteschlange retten
gelöst Frage von dragonstynExchange Server2 Kommentare

Hallo Admins, ich habe aktuell folgendes Problem: Wir sind dabei einen SBS 2008 aufzulösen, nachdem sich der Server nach ...

Exchange Server
Exchange Warteschlange mit vielen Submission löschen
gelöst Frage von LoenebergerExchange Server2 Kommentare

Guten Abend Admins, Meine Warteschlange im Exchange 2007 hat so zirka 101 Submission Mails, welche ich nicht löschen kann ...

Exchange Server
Exchange 2013 Warteschlange wird nich abgearbeitet
gelöst Frage von Philipp711Exchange Server5 Kommentare

Hi Leute, habe heute einen neuen Exchange 2013 in unserer bestehende Struktur installiert. Ich bin bisher relativ zufrieden mit ...

Exchange Server
Exchange 2010 - eMails von der Warteschlange gelöscht
Frage von staybbExchange Server

Hallo, ich hatte bis eben noch auf einem Exchange 2010 das Problem, das der Smarthost der die Mails vom ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 11 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 13 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
Frage von Alex29Netzwerkgrundlagen12 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...