Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2007 - Viele Warnmeldungen (LogonDenied)

Frage Microsoft Exchange Server

Mitglied: Jonapap

Jonapap (Level 1) - Jetzt verbinden

06.08.2014, aktualisiert 07.08.2014, 2731 Aufrufe, 7 Kommentare

Hallo,

im Ereignisprotokoll von unserem Exchange-Server (SMB2008) werden täglich etliche Warnmeldungen geloggt:

Protokollname: Application
Quelle: MSExchangeTransport
Datum: 06.08.2014 15:38:29
Ereignis-ID: 1035
Aufgabenkategorie:SmtpReceive
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Server04.local
Beschreibung:
Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector mail.platzhalter.de. Der Authentifizierungsmechanismus ist Login. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [118.140.15.34].

Die Quell-IP-Adressen wechseln meistens und stammen fast immer aus IP-Pools von ausländischen Providern. Ich vermute Bot-Netze dahinter.
Ich habe schon zum Thema gegoogelt, komme aber nicht so richtig weiter.

1. Was kann ich gegen diese Angriffe unternehmen? Wenn IP-Adressen über einen längeren Zeitraum gleich bleiben, prüfe ich die Herkunft der IP-Adresse und sperre die IP in unserer Firewall. Aber was kann ich bei wechselnden IP-Adressen machen?

2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?

Danke im Voraus


Mitglied: Chonta
06.08.2014, aktualisiert 07.08.2014
Hallo,

die Autentifizierung selber passiert nicht am Mailserver sondern am Domaincontroller. (Wenn mehrere da sind kann es irgend einer sein)
Dort kannst Du nachschauen mit welchem Benutzernamen versucht wurde sich einzuloggen.
root, Administrator, admin, test, mail, und irgendwelche Namen werden da dann auftauchen.

Wenn der Administrator sich nicht über SMTP/OWA von draußen einloggen kann ist es unwarscheinlich das eine Kombination aus Passwort und Benutzernamen treffen wird.
Machen kannst Du ausser die IP sperren nicht viel machen.
Wenn die Anfragen auch immer sehr Zeitverzögert ankommen, schlagen nicht mal automatische Systeme alarm

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
06.08.2014, aktualisiert 07.08.2014
Hallo,

Zitat von Jonapap:
(SMB2008)
Was ist das denn? SMB steht für?!? Sado Maso Berufsanfänger oder was?

1. Was kann ich gegen diese Angriffe unternehmen?
Ein Mail Proxy vorschalten? Vermutlich hängt dein Exchange direkt im Internet (Portweiterleitung ist keine Trennung vom Internet)

Aber was kann ich bei wechselnden IP-Adressen machen?
Schneller prüfen Nichts.

2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?
SMTP Protokolle für Zeitpunkt und Quelle, System (Ereignisse) Protokolle der DC(s) welche auch Benutzer Authentifizieren (hast du mehrere DCs wird's lustig.

Wie gesagt, Mailproxy (SMTP Proxy) davor setzen z.B. Sophos UTM oder einen anderen Mailserver.

Gruß,
Peter
Bitte warten ..
Mitglied: Dobby
06.08.2014, aktualisiert 07.08.2014
Hallo,

Die Quell-IP-Adressen wechseln meistens und stammen fast immer aus IP-Pools von
ausländischen Providern. Ich vermute Bot-Netze dahinter.
Kann aber auch gut sein das;
- das Netzwerk von wem anders geknackt worden ist
- sich jemand einen Trojaner eingefangen hat
- Irgend wo jemand einen Bot platziert hat
- die IP Adresse gespooft wird und der "Angriff" über einen Proxy statt findet
- Die Chinesische Regierung ein Interesse an Euch hat
- Ein Konkurrent von Euch mehr wissen möchte
- Jemand mit seinem PC einfach nur "übt"
- Oder jemand einfach nur einen Tippfehler begangen hat

Ich habe schon zum Thema gegoogelt, komme aber nicht so richtig weiter.
Hier sind meine Google Ergebnisse dazu und die teile ich doch gerne mit Dir.
- IP Adresse finden
- Abuse Check der IP Adresse
- Blocklist Auskunft der IP Adresse

1. Was kann ich gegen diese Angriffe unternehmen?
- Einen Proxy zwischen die Firewall/den Router und den Server packen und fail2ban installieren
- Snort oder Suricata im Netzwerk installieren und die Rules anpassen.
- DPI an Deiner Firewall installieren bzw. aktivieren
- Einen performanten MikroTik Router dazwischen hängen und dann mittels diesem das selbe wie mit fail2ban umsetzen

Wenn IP-Adressen über einen längeren Zeitraum gleich bleiben, prüfe ich die Herkunft der
IP-Adresse und sperre die IP in unserer Firewall.
- Proxy mit fail2ban installieren
- China und/oder Hong Kong sperren
- Den ISP sperren

Aber was kann ich bei wechselnden IP-Adressen machen?
- Einen Proxy zwischen die Firewall/den Router und den Server packen und fail2ban installieren
- Snort oder Suricata im Netzwerk installieren und die Rules anpassen.
- DPI an Deiner Firewall installieren bzw. aktivieren
- Einen performanten MikroTik Router dazwischen hängen und dann mittels diesem das selbe wie mit fail2ban umsetzen

2. Wie kann ich herausfinden, über welchen Benutzernamen sich der Angreifer anmelden will?
Was steht denn in den Logs der Firewall, des Connectors, des Exchange, und warum protokollierst
Du nicht einmal ein wenig mit TCPDUMP oder WireShark mit?

Gruß
Dobby
Bitte warten ..
Mitglied: Jonapap
07.08.2014, aktualisiert um 09:08 Uhr
Hallo,

@Pjordorf: Ich hätte die offizielle Abkürzung vom Small-Business-Server verwenden sollen: SBS2008

Vielen Dank für die Tipps an alle anderen.
Kann ich bei dem folgenden SMTP-Protokolleintrag davon ausgehen, das hier Relaying ohne Angabe von Benutzerinformationen versucht wird (anonymes Relaying ist natürlich bei uns abgeschaltet)?
Im Ereignisprotokoll des DCs steht unter "Sicherheit" kein Eintrag zu diesem Zeitpunkt.

+,,
*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
>,"220 mail.platzhalter.de Microsoft ESMTP MAIL Service ready at Thu, 7 Aug 2014 03:16:24 +0200",
<,EHLO vgoppcxzrd,
>,250-mail.platzhalter.de Hello [118.140.15.34],
>,250-SIZE 41943040,
>,250-PIPELINING,
>,250-DSN,
>,250-ENHANCEDSTATUSCODES,
>,250-STARTTLS,
>,250-AUTH LOGIN,
>,250-8BITMIME,
>,250-BINARYMIME,
>,250 CHUNKING,
<,AUTH LOGIN,
>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound AUTH LOGIN failed because of LogonDenied
>,535 5.7.3 Authentication unsuccessful,
<,QUIT,
>,221 2.0.0 Service closing transmission channel,
-,,Local
Bitte warten ..
Mitglied: Chonta
07.08.2014 um 10:06 Uhr
Hallo,

das Log sagt, das sich da versucht einer einuloggen.
>,AUTH LOGIN,
>,334 <authentication response>,
>,334 <authentication response>,

Die Zeit zwischen Exchangeereigniss und DC ereigniss wird nie genau übereinstimmen.
Suche mal auf dem DC nach fehlgeschlagenen Anmeldungen.

Damit fehlerhafte LLoginversuche auch gelogt werden, muss das Logging dafür auch eingeschaltet sein.

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
07.08.2014 um 10:53 Uhr
Hallo,

Zitat von Jonapap:
Im Ereignisprotokoll des DCs steht unter "Sicherheit" kein Eintrag zu diesem Zeitpunkt.
Welcher DC? Du schreibst ja
Computer: Server04.local
was uns den Anschein geben soll das dort mindestens 4 Server werkeln. Auch zu einen SBS können weitere DCs existieren - überhaupt kein Problem, und welcher DC dann die Authentifizierung versuchte durchzuführen hängt davon ab welcher DC denn Zeit und Muße und gerade die schnellste Antwortzeit hinlegte. Vermutlich dein SBS weil der vermutlich dein Exchange beherbergt - wie gesagt vermutlich.

<,AUTH LOGIN,
>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound AUTH LOGIN failed because of LogonDenied
>,535 5.7.3 Authentication unsuccessful
Und das nennst du keinen Anmeldeversuch? Welche Anmeldetypen sind denn von extern erlaubt? Werden die so auch gebraucht?

Mache mal ein "Telnet deinMailServer 25"
Nach dessen Antwort dann ein
"ehlo Ich"
und schau dir an was dein Exchange alles an Authentifizierung anbietet.

http://technet.microsoft.com/en-us/library/gg263433(v=exchg.80).aspx
http://technet.microsoft.com/en-us/library/bb232023(v=exchg.80).aspx
http://www.exchangeinbox.com/article.aspx?i=93

http://en.wikipedia.org/wiki/SMTP_Authentication
http://en.wikipedia.org/wiki/E-mail_authentication

http://en.wikipedia.org/wiki/Open_mail_relay

Gruß,
Peter
Bitte warten ..
Mitglied: Jonapap
07.08.2014 um 11:45 Uhr
Hallo,

@Chonta:Es gibt keine fehlgeschlagenen Anmeldeversuche in dem relevanten Zeitraum in dem Ereignisprotokoll "Sicherheit". Wo kann ich sehen, ob das Logging bei fehlerhaften Anmeldeversuch eingeschaltet ist?

@Pjordorf: Der Servername ist geändert und spielt hier keine Rolle. Bei Servernamen hänge ich allerdings generell immer eine laufende Nummer an, um sie besser unterscheiden zu können. Daraus lässt sich aber kein Rückschluss auf die Anzahl der Server ziehen, da es auch ausgemusterte Server gibt.
Ich habe nicht geschrieben, dass kein Anmeldeversuch protokolliert wurde, sondern vermutet, dass es ein Anmeldeversuch ohne Angabe von Benutzerinformationen (Benutzername und Passwort) sein könnte.
Was soll ich aus der telnet-Abfrage auf Port 25 für Informationen bekommen, die nicht sowieso schon in meinem oben stehenden Protokolleintrag (SmtpReceive) stehen?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Exchange 2007 Datenbank restore ohne Exchange zu verändern - SBS2008

Frage von pitamerica zum Thema Exchange Server ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2007 Migration auf Exchange 2016 (3)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...