Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange Server 2010 - Massive SPAM Problem

Frage Microsoft Exchange Server

Mitglied: net2010

net2010 (Level 1) - Jetzt verbinden

09.11.2012 um 12:18 Uhr, 6530 Aufrufe, 17 Kommentare

Hallo Leute..

hoffe ihr könnt mir schnell helfen.

Problem:

Exchange Server 2010 - SPAM Problem

Es werden viele Spam Mails Versendet.
Habe schon Exchange AntiSpam installiert und konfiguriert, aber leider keine Änderung!

Schaut auch mal bitte den ScreenShot an... wie kann ich die Mails stoppen..

Bitte um eure Hilfe danke



26b720f79af4b0e5608eb0fdee1144ed - Klicke auf das Bild, um es zu vergrößern
Mitglied: broecker
09.11.2012 um 12:51 Uhr
1. Server vom Netz nehmen - Freitag - Mailtransport kann vielleicht einen Tag ausgesetzt werden?
2. Firewall zum Raussenden (Port 25) blockieren lassen - testen - wieder reinnehmen - damit würde eingehender Verkehr noch laufen und man hätte noch länger am Wochenende Zeit?
3. erst dann Ursache bekämpfen: Client-Analyse?
Bitte warten ..
Mitglied: net2010
09.11.2012 um 12:56 Uhr
HI

Alles schon gemacht... aber wie sehe ich von wo dieses Problem kommt??
Von welchen Absenden usw?
Bitte warten ..
Mitglied: broecker
09.11.2012, aktualisiert um 13:23 Uhr
ersteinmal, ob vom Server selbst indem nun (hoffentlich) die Warteschlangen nicht mehr anwachsen?!
danach mit Wireshark - z.B. auf dem Exchange-Server - damit's schnell geht - von welchem Client (IP-Adresse) die Mails kommen, danach dort desinfizieren - Wochenende!
Ausführlicher nur mit mehr Infos: steht der Server nach Microsoft-Vorstellung direkt im Internet oder über POP/SMTP-Connectoren?
Wieviele Clients?
Bitte warten ..
Mitglied: psannz
09.11.2012, aktualisiert um 13:43 Uhr
Sers,

über die Exchangeverwaltung mal das Tool Nachrichtenverfolgung starten und darin das ganze etwas eingrenzen (am Besten via Zeit, damit übersiehst du nichts). Da kannst du dann über die "Client IP" Adresse zumindest mal sehen ob es über ein Postfach im Exchange ging, oder ob der Exchange direkt als SNMP Server angesprochen wurde.

Das sollte dir die Problemlösung erleichtern.

Grüße,
Philip
Bitte warten ..
Mitglied: broecker
09.11.2012 um 13:52 Uhr
stimmt, meist ärgere ich mich über die MS-Tools so, daß ich sie hier direkt vergesse - netmon (als MS-Wireshark-Äquivalent) falls es noch nicht erhellend sein sollte)
Bitte warten ..
Mitglied: goscho
09.11.2012 um 13:59 Uhr
Mahlzeit

und wenn der TO glaubt, sein Exchange könnte ein offenes Relay sein, so empfehle ich den EXBPA mal durchlaufen zu lassen:
Exchange 2010 SP1: What’s new with the Exchange Best Practices Analyzer?
Bitte warten ..
Mitglied: psannz
09.11.2012 um 14:17 Uhr
Wo wir gerade noch bei MS Tools sind... das wichtigste vergessen:

Microsoft Exchange User Monitor. Quasi zum live zuguggen: http://www.microsoft.com/en-us/download/details.aspx?id=11461

Beim 2010er kam dann ja noch das Exchange Server 2010 Monitoring Management Pack dazu: http://www.microsoft.com/en-us/download/details.aspx?id=692
Bitte warten ..
Mitglied: net2010
12.11.2012, aktualisiert um 10:35 Uhr
HI..

So jetzt gibs mehr Info...

Spam Mails werden von Extern über den Exchange Server gesendet.
IP Adresse von Extern ist bekannt. Habe ich jetzt auch in der FW gesperrt.

Aber leider ist dieses nicht wirklich eine schöne Lösung!

Wie kann ich heraus finden... wo mein Exchange Server sooo offen ist? Offenes Relay?

danke sehr

Exchange Server - Warteschlange - Eigenschaft von Spam Mail:


Identität: VS02\98\46
Betreff: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <757217a1-3c27-459e-9d91-c2051fcbbc30@....>
Von Adresse: forex2929@yahoo.com
Status: Bereit
Größe (KB): 7
Name der Nachrichtenquelle: SMTP:Default VS02
Quell-IP: 209.54.57.96
SCL (Spam Confidence Level): 0
Empfangsdatum: 12.11.2012 09:55:51
Ablaufzeit: 14.11.2012 09:55:51
Letzter Fehler:
Warteschlangen-ID: VS02\98
Empfänger: crysto_pixelworks@yahoo.co.nz

UND...


Identität: VS02\69\15
Betreff: Unzustellbar: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <13da337e-6126-4ea0-9001-03e680bdc99c@....>
Von Adresse: <>
Status: Bereit
Größe (KB): 11
Name der Nachrichtenquelle: DSN
Quell-IP: 255.255.255.255
SCL (Spam Confidence Level): -1
Empfangsdatum: 12.11.2012 09:55:06
Ablaufzeit: 14.11.2012 09:55:06
Letzter Fehler:
Warteschlangen-ID: VS02\69
Empfänger: forex2929@yahoo.com
Bitte warten ..
Mitglied: net2010
12.11.2012 um 10:37 Uhr
http://www.mailradar.com/openrelay/

open Relay Test:

All tested completed! No relays accepted by remote host!
Bitte warten ..
Mitglied: psannz
12.11.2012 um 13:34 Uhr
Nimm dir mal "Name der Nachrichtenquelle: SMTP:Default VS02" als Stichwort und und schau nach welche Authentifizierung für den Connector eingestellt ist. Beziehungsweise ob überhaupt eine Authentifizierung nötig ist.
Bitte warten ..
Mitglied: net2010
12.11.2012 um 13:59 Uhr
Sendeconnector - SMTP- Eigenschaften - Netzwerk

MX-Datensätze des DNS zum automatischen Weiterleitung von E-Mail verwenden


mehr ist nicht angehackt!
Bitte warten ..
Mitglied: psannz
12.11.2012 um 15:03 Uhr
Und wie schauts im Hub-Transport bei den Empfangsconnectoren aus? Authentifizierung dort aktiviert? Lässt du unter den Berechtigungsgruppen anonymen Zugriff zu?

Sorry, hab hier leider grad nur nen 2007er Ex vor mir, aber iirc waren die Bezeichnungen beim Ex2010 identisch.
Bitte warten ..
Mitglied: net2010
12.11.2012 um 16:39 Uhr
Empfangsconnector:

Default - Berechtigungsgruppe - Anonyme Benutzer / Exchnage Benutzer / Exchangen Server = angehackt
Authentifizierung - Transport Layer Sec. TLS / Standardauth. / Integrierte Windwos Auth- = angehackt


danke
Bitte warten ..
Mitglied: psannz
12.11.2012 um 23:45 Uhr
Dann wäre der Vollständigkeit halber nurnoch zu klären aus welchen Netzen dieser Connector ansprechbar ist bzw. auf welche Netze er hört.

Meine Kristallkugel sagt mir dass dein Default Connector jegliche Netze akzeptiert. Und wenn aus belibigen Netzen anonymer Zugang gestattet wird, zu deinem SMTP (vom Ex), dann wundert mich der Spam nicht mehr.

Hast du über den Ex in letzter Zeit mal die Best Practice Analysen laufen lassen? Da hätte es sofort jede Menge Aufschreie geben müssen.

Grüße,
Philip
Bitte warten ..
Mitglied: net2010
13.11.2012 um 08:04 Uhr
HI...

Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.

Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....

Stimmt dieses? oder wie gehört dieses sonst geändert?

danke
Bitte warten ..
Mitglied: psannz
13.11.2012, aktualisiert um 09:12 Uhr
Zitat von net2010:
HI...
Moin!

Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail
verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Port 25 ist der Standard SMTP Port, das ist auch ok so.

Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Das heisst dass dein Server SMTP Traffic von jeder beliebigen IP Adresse annimmt.
Mal drauf achten ob dein Exchange auch die IP des Absenders von ausserhalb deines LANes sieht, oder ob der Ex dann nur die IP deines Gateways (idF wohl deiner Firewall) sieht. Falls er dann nur das Gateway sieht hast du hier potentiell einen weiteren Sicherheitsmoment den du nutzen könntest. Das geht jetzt aber ein wenig zu weit.

Stimmt dieses? oder wie gehört dieses sonst geändert?
Das musst du selbst entscheiden. Soll der Exchange via SMTP von ausserhalb seiner Firma ansprechbar sein? Wenn ja solltest du das so lassen. Willst ja erreichbar sein. Wenn ich dich oben richtig verstanden habe hat der Ex nen MX Record und sollte von dem her auch weiterhin so arbeiten.

Wenn der Ex mit MX Record im Netz hängt musst du auch den Anonymen Zugang weiterhin erlauben. Sonst kommen bei dir keine externen Mails mehr an.

Zur Spamvermeidung bleiben dir dann nurnoch Blacklists, etwa auf DNS Basis, und die sonstigen üblichen Verdächtigen wie Contextfiltering, Headeranalyse, SenderID-Analyse, etc. Der Ex2010 bringt da ja selbst schon sehr viel mit.
Ob du das auf dem Exchange selber machst, etwa über die AntiSPAM Funktionen (Zu finden iirc im Hub-Transport), oder über eine externe Lösung überlasse ich jetzt mal dir. Hier mal ein Beispiel wie du die SpamHaus DNS Sperrliste in deinen Ex bekommst:
http://netport.org/?p=1200
Der Ex kann eigentlich von sich aus schon recht viel in der Richtung. Man muss ihm halt sagen was er tun soll. Standardmäßig sind die AntiSpam-Funktionen nämlich deaktiviert.

Du könntest das natürlich auch auf ein Mail Security Gateway, oder einen weiteren vorgeschalteten Mailserver verlagern, falls du auf dem Ex dafür keine Performance übrig hast bzw. bereitstellen willst.



Falls du auf dem Ex wider Erwarten keinen MX Record hast weil der z.B. seine Mails alle über einen anderen Server erhält, oder sich via POP zieht, reicht es in den oben von dir erwähnten IP Adressen die Ranges deiner LANe sowie die IP Adresse des zuliefernden Mailservers, falls sich dieser ausserhalb deines LANes befindet. Damit dürfte dann auch die Notwendigkeit der Anonymen Authentifizierung hinfällig sein.


danke
Bitte.

Grüße,
Philip
Bitte warten ..
Mitglied: net2010
13.11.2012 um 09:31 Uhr
mmhh...

okay... danke sehr
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...