17
Exchange Server 2010 - Massive SPAM Problem
Hallo Leute..
hoffe ihr könnt mir schnell helfen.
Problem:
Exchange Server 2010 - SPAM Problem
Es werden viele Spam Mails Versendet.
Habe schon Exchange AntiSpam installiert und konfiguriert, aber leider keine Änderung!
Schaut auch mal bitte den ScreenShot an... wie kann ich die Mails stoppen..
Bitte um eure Hilfe danke
hoffe ihr könnt mir schnell helfen.
Problem:
Exchange Server 2010 - SPAM Problem
Es werden viele Spam Mails Versendet.
Habe schon Exchange AntiSpam installiert und konfiguriert, aber leider keine Änderung!
Schaut auch mal bitte den ScreenShot an... wie kann ich die Mails stoppen..
Bitte um eure Hilfe danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193998
Url: https://administrator.de/contentid/193998
Printed on: April 18, 2024 at 07:04 o'clock
17 Comments
Latest comment
1. Server vom Netz nehmen - Freitag - Mailtransport kann vielleicht einen Tag ausgesetzt werden?
2. Firewall zum Raussenden (Port 25) blockieren lassen - testen - wieder reinnehmen - damit würde eingehender Verkehr noch laufen und man hätte noch länger am Wochenende Zeit?
3. erst dann Ursache bekämpfen: Client-Analyse?
2. Firewall zum Raussenden (Port 25) blockieren lassen - testen - wieder reinnehmen - damit würde eingehender Verkehr noch laufen und man hätte noch länger am Wochenende Zeit?
3. erst dann Ursache bekämpfen: Client-Analyse?
HI
Alles schon gemacht... aber wie sehe ich von wo dieses Problem kommt??
Von welchen Absenden usw?
Alles schon gemacht... aber wie sehe ich von wo dieses Problem kommt??
Von welchen Absenden usw?
ersteinmal, ob vom Server selbst indem nun (hoffentlich) die Warteschlangen nicht mehr anwachsen?!
danach mit Wireshark - z.B. auf dem Exchange-Server - damit's schnell geht - von welchem Client (IP-Adresse) die Mails kommen, danach dort desinfizieren - Wochenende!
Ausführlicher nur mit mehr Infos: steht der Server nach Microsoft-Vorstellung direkt im Internet oder über POP/SMTP-Connectoren?
Wieviele Clients?
danach mit Wireshark - z.B. auf dem Exchange-Server - damit's schnell geht - von welchem Client (IP-Adresse) die Mails kommen, danach dort desinfizieren - Wochenende!
Ausführlicher nur mit mehr Infos: steht der Server nach Microsoft-Vorstellung direkt im Internet oder über POP/SMTP-Connectoren?
Wieviele Clients?
Sers,
über die Exchangeverwaltung mal das Tool Nachrichtenverfolgung starten und darin das ganze etwas eingrenzen (am Besten via Zeit, damit übersiehst du nichts). Da kannst du dann über die "Client IP" Adresse zumindest mal sehen ob es über ein Postfach im Exchange ging, oder ob der Exchange direkt als SNMP Server angesprochen wurde.
Das sollte dir die Problemlösung erleichtern.
Grüße,
Philip
über die Exchangeverwaltung mal das Tool Nachrichtenverfolgung starten und darin das ganze etwas eingrenzen (am Besten via Zeit, damit übersiehst du nichts). Da kannst du dann über die "Client IP" Adresse zumindest mal sehen ob es über ein Postfach im Exchange ging, oder ob der Exchange direkt als SNMP Server angesprochen wurde.
Das sollte dir die Problemlösung erleichtern.
Grüße,
Philip
stimmt, meist ärgere ich mich über die MS-Tools so, daß ich sie hier direkt vergesse - netmon (als MS-Wireshark-Äquivalent) falls es noch nicht erhellend sein sollte)
Mahlzeit
und wenn der TO glaubt, sein Exchange könnte ein offenes Relay sein, so empfehle ich den EXBPA mal durchlaufen zu lassen:
Exchange 2010 SP1: What’s new with the Exchange Best Practices Analyzer?
und wenn der TO glaubt, sein Exchange könnte ein offenes Relay sein, so empfehle ich den EXBPA mal durchlaufen zu lassen:
Exchange 2010 SP1: What’s new with the Exchange Best Practices Analyzer?
Wo wir gerade noch bei MS Tools sind... das wichtigste vergessen:
Microsoft Exchange User Monitor. Quasi zum live zuguggen: http://www.microsoft.com/en-us/download/details.aspx?id=11461
Beim 2010er kam dann ja noch das Exchange Server 2010 Monitoring Management Pack dazu: http://www.microsoft.com/en-us/download/details.aspx?id=692
Microsoft Exchange User Monitor. Quasi zum live zuguggen: http://www.microsoft.com/en-us/download/details.aspx?id=11461
Beim 2010er kam dann ja noch das Exchange Server 2010 Monitoring Management Pack dazu: http://www.microsoft.com/en-us/download/details.aspx?id=692
HI..
So jetzt gibs mehr Info...
Spam Mails werden von Extern über den Exchange Server gesendet.
IP Adresse von Extern ist bekannt. Habe ich jetzt auch in der FW gesperrt.
Aber leider ist dieses nicht wirklich eine schöne Lösung!
Wie kann ich heraus finden... wo mein Exchange Server sooo offen ist? Offenes Relay?
danke sehr
Exchange Server - Warteschlange - Eigenschaft von Spam Mail:
Identität: VS02\98\46
Betreff: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <757217a1-3c27-459e-9d91-c2051fcbbc30@....>
Von Adresse: forex2929@yahoo.com
Status: Bereit
Größe (KB): 7
Name der Nachrichtenquelle: SMTP:Default VS02
Quell-IP: 209.54.57.96
SCL (Spam Confidence Level): 0
Empfangsdatum: 12.11.2012 09:55:51
Ablaufzeit: 14.11.2012 09:55:51
Letzter Fehler:
Warteschlangen-ID: VS02\98
Empfänger: crysto_pixelworks@yahoo.co.nz
UND...
Identität: VS02\69\15
Betreff: Unzustellbar: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <13da337e-6126-4ea0-9001-03e680bdc99c@....>
Von Adresse: <>
Status: Bereit
Größe (KB): 11
Name der Nachrichtenquelle: DSN
Quell-IP: 255.255.255.255
SCL (Spam Confidence Level): -1
Empfangsdatum: 12.11.2012 09:55:06
Ablaufzeit: 14.11.2012 09:55:06
Letzter Fehler:
Warteschlangen-ID: VS02\69
Empfänger: forex2929@yahoo.com
So jetzt gibs mehr Info...
Spam Mails werden von Extern über den Exchange Server gesendet.
IP Adresse von Extern ist bekannt. Habe ich jetzt auch in der FW gesperrt.
Aber leider ist dieses nicht wirklich eine schöne Lösung!
Wie kann ich heraus finden... wo mein Exchange Server sooo offen ist? Offenes Relay?
danke sehr
Exchange Server - Warteschlange - Eigenschaft von Spam Mail:
Identität: VS02\98\46
Betreff: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <757217a1-3c27-459e-9d91-c2051fcbbc30@....>
Von Adresse: forex2929@yahoo.com
Status: Bereit
Größe (KB): 7
Name der Nachrichtenquelle: SMTP:Default VS02
Quell-IP: 209.54.57.96
SCL (Spam Confidence Level): 0
Empfangsdatum: 12.11.2012 09:55:51
Ablaufzeit: 14.11.2012 09:55:51
Letzter Fehler:
Warteschlangen-ID: VS02\98
Empfänger: crysto_pixelworks@yahoo.co.nz
UND...
Identität: VS02\69\15
Betreff: Unzustellbar: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <13da337e-6126-4ea0-9001-03e680bdc99c@....>
Von Adresse: <>
Status: Bereit
Größe (KB): 11
Name der Nachrichtenquelle: DSN
Quell-IP: 255.255.255.255
SCL (Spam Confidence Level): -1
Empfangsdatum: 12.11.2012 09:55:06
Ablaufzeit: 14.11.2012 09:55:06
Letzter Fehler:
Warteschlangen-ID: VS02\69
Empfänger: forex2929@yahoo.com
http://www.mailradar.com/openrelay/
open Relay Test:
All tested completed! No relays accepted by remote host!
open Relay Test:
All tested completed! No relays accepted by remote host!
Nimm dir mal "Name der Nachrichtenquelle: SMTP:Default VS02" als Stichwort und und schau nach welche Authentifizierung für den Connector eingestellt ist. Beziehungsweise ob überhaupt eine Authentifizierung nötig ist.
Sendeconnector - SMTP- Eigenschaften - Netzwerk
MX-Datensätze des DNS zum automatischen Weiterleitung von E-Mail verwenden
mehr ist nicht angehackt!
MX-Datensätze des DNS zum automatischen Weiterleitung von E-Mail verwenden
mehr ist nicht angehackt!
Und wie schauts im Hub-Transport bei den Empfangsconnectoren aus? Authentifizierung dort aktiviert? Lässt du unter den Berechtigungsgruppen anonymen Zugriff zu?
Sorry, hab hier leider grad nur nen 2007er Ex vor mir, aber iirc waren die Bezeichnungen beim Ex2010 identisch.
Sorry, hab hier leider grad nur nen 2007er Ex vor mir, aber iirc waren die Bezeichnungen beim Ex2010 identisch.
Empfangsconnector:
Default - Berechtigungsgruppe - Anonyme Benutzer / Exchnage Benutzer / Exchangen Server = angehackt
Authentifizierung - Transport Layer Sec. TLS / Standardauth. / Integrierte Windwos Auth- = angehackt
danke
Default - Berechtigungsgruppe - Anonyme Benutzer / Exchnage Benutzer / Exchangen Server = angehackt
Authentifizierung - Transport Layer Sec. TLS / Standardauth. / Integrierte Windwos Auth- = angehackt
danke
Dann wäre der Vollständigkeit halber nurnoch zu klären aus welchen Netzen dieser Connector ansprechbar ist bzw. auf welche Netze er hört.
Meine Kristallkugel sagt mir dass dein Default Connector jegliche Netze akzeptiert. Und wenn aus belibigen Netzen anonymer Zugang gestattet wird, zu deinem SMTP (vom Ex), dann wundert mich der Spam nicht mehr.
Hast du über den Ex in letzter Zeit mal die Best Practice Analysen laufen lassen? Da hätte es sofort jede Menge Aufschreie geben müssen.
Grüße,
Philip
Meine Kristallkugel sagt mir dass dein Default Connector jegliche Netze akzeptiert. Und wenn aus belibigen Netzen anonymer Zugang gestattet wird, zu deinem SMTP (vom Ex), dann wundert mich der Spam nicht mehr.
Hast du über den Ex in letzter Zeit mal die Best Practice Analysen laufen lassen? Da hätte es sofort jede Menge Aufschreie geben müssen.
Grüße,
Philip
HI...
Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Stimmt dieses? oder wie gehört dieses sonst geändert?
danke
Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Stimmt dieses? oder wie gehört dieses sonst geändert?
danke
Moin!
Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail
verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Port 25 ist der Standard SMTP Port, das ist auch ok so.
Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Das heisst dass dein Server SMTP Traffic von jeder beliebigen IP Adresse annimmt.
Mal drauf achten ob dein Exchange auch die IP des Absenders von ausserhalb deines LANes sieht, oder ob der Ex dann nur die IP deines Gateways (idF wohl deiner Firewall) sieht. Falls er dann nur das Gateway sieht hast du hier potentiell einen weiteren Sicherheitsmoment den du nutzen könntest. Das geht jetzt aber ein wenig zu weit.
Stimmt dieses? oder wie gehört dieses sonst geändert?
Das musst du selbst entscheiden. Soll der Exchange via SMTP von ausserhalb seiner Firma ansprechbar sein? Wenn ja solltest du das so lassen. Willst ja erreichbar sein. Wenn ich dich oben richtig verstanden habe hat der Ex nen MX Record und sollte von dem her auch weiterhin so arbeiten.
Wenn der Ex mit MX Record im Netz hängt musst du auch den Anonymen Zugang weiterhin erlauben. Sonst kommen bei dir keine externen Mails mehr an.
Zur Spamvermeidung bleiben dir dann nurnoch Blacklists, etwa auf DNS Basis, und die sonstigen üblichen Verdächtigen wie Contextfiltering, Headeranalyse, SenderID-Analyse, etc. Der Ex2010 bringt da ja selbst schon sehr viel mit.
Ob du das auf dem Exchange selber machst, etwa über die AntiSPAM Funktionen (Zu finden iirc im Hub-Transport), oder über eine externe Lösung überlasse ich jetzt mal dir. Hier mal ein Beispiel wie du die SpamHaus DNS Sperrliste in deinen Ex bekommst:
http://netport.org/?p=1200
Der Ex kann eigentlich von sich aus schon recht viel in der Richtung. Man muss ihm halt sagen was er tun soll. Standardmäßig sind die AntiSpam-Funktionen nämlich deaktiviert.
Du könntest das natürlich auch auf ein Mail Security Gateway, oder einen weiteren vorgeschalteten Mailserver verlagern, falls du auf dem Ex dafür keine Performance übrig hast bzw. bereitstellen willst.
Falls du auf dem Ex wider Erwarten keinen MX Record hast weil der z.B. seine Mails alle über einen anderen Server erhält, oder sich via POP zieht, reicht es in den oben von dir erwähnten IP Adressen die Ranges deiner LANe sowie die IP Adresse des zuliefernden Mailservers, falls sich dieser ausserhalb deines LANes befindet. Damit dürfte dann auch die Notwendigkeit der Anonymen Authentifizierung hinfällig sein.
danke
Bitte.
Grüße,
Philip
Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail
verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Mal drauf achten ob dein Exchange auch die IP des Absenders von ausserhalb deines LANes sieht, oder ob der Ex dann nur die IP deines Gateways (idF wohl deiner Firewall) sieht. Falls er dann nur das Gateway sieht hast du hier potentiell einen weiteren Sicherheitsmoment den du nutzen könntest. Das geht jetzt aber ein wenig zu weit.
Stimmt dieses? oder wie gehört dieses sonst geändert?
Wenn der Ex mit MX Record im Netz hängt musst du auch den Anonymen Zugang weiterhin erlauben. Sonst kommen bei dir keine externen Mails mehr an.
Zur Spamvermeidung bleiben dir dann nurnoch Blacklists, etwa auf DNS Basis, und die sonstigen üblichen Verdächtigen wie Contextfiltering, Headeranalyse, SenderID-Analyse, etc. Der Ex2010 bringt da ja selbst schon sehr viel mit.
Ob du das auf dem Exchange selber machst, etwa über die AntiSPAM Funktionen (Zu finden iirc im Hub-Transport), oder über eine externe Lösung überlasse ich jetzt mal dir. Hier mal ein Beispiel wie du die SpamHaus DNS Sperrliste in deinen Ex bekommst:
http://netport.org/?p=1200
Der Ex kann eigentlich von sich aus schon recht viel in der Richtung. Man muss ihm halt sagen was er tun soll. Standardmäßig sind die AntiSpam-Funktionen nämlich deaktiviert.
Du könntest das natürlich auch auf ein Mail Security Gateway, oder einen weiteren vorgeschalteten Mailserver verlagern, falls du auf dem Ex dafür keine Performance übrig hast bzw. bereitstellen willst.
Falls du auf dem Ex wider Erwarten keinen MX Record hast weil der z.B. seine Mails alle über einen anderen Server erhält, oder sich via POP zieht, reicht es in den oben von dir erwähnten IP Adressen die Ranges deiner LANe sowie die IP Adresse des zuliefernden Mailservers, falls sich dieser ausserhalb deines LANes befindet. Damit dürfte dann auch die Notwendigkeit der Anonymen Authentifizierung hinfällig sein.
danke
Grüße,
Philip
mmhh... 
okay... danke sehr
okay... danke sehr
