Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fremde Nutzung obwohl kein open Relay?

Frage Microsoft Exchange Server

Mitglied: Diablo84hls

Diablo84hls (Level 1) - Jetzt verbinden

09.06.2008, aktualisiert 11.06.2008, 4882 Aufrufe, 11 Kommentare

Hallo Leute,

ein Kunde hat das Problem, dass von seinem SBS Server aus fremde E-Mails versendet werden.

Absenderadresse:
mailid94136@taxrefund8362.irs.gov

Empfänger:
lemlys@skybest.com; lemley@houston.rr.com; lemleyscatering@sbcglobal.net; lemleysja@sbcglobal.net; lemleznew2000@yahoo.com; lemler@cisco.com; lemle@bex.net; lemlein@aol.com; lemm42@aol.com; lemmafu@aol.com; lemma@lvc.edu; lemlharris@sbcgloblal.net; lemma73@mmisery.com; lemm@yadtel.net; lemlo@mac.com; lemlex@hotmail.com; lemleychiro@hotmail.com; lemlo53@hotmail.com; lemma@globemw.net; lemley.rich@epa.gov

mal so als Beispiel.

Dieser Server ist kein offenes Relay und steht auch hinter einer Firewall. Aktiver Virenscanner ist auf allen PCs und Servern. Ich weiß nicht, wo ich noch suchen soll und bitte euch um Rat.

MfG
Heiko
Mitglied: 16568
09.06.2008 um 13:43 Uhr
Hm, wenn Du das mit Relay DEFINITIV ausschliessen kannst, dann würde ich es mal mit einem Trojaner- oder Rootkit-Scanner von einem anderen Anbieter versuchen.


Lonesome Walker
Bitte warten ..
Mitglied: Dani
09.06.2008 um 13:49 Uhr
Hi,
ich stimme LSW zu...ansonsten schaue doch mal im Logfile von Exchange nach \\servername\servername.LOG nach, woher die Mails kamen. Somit kannst du den Verursacher bsser eingrenzen.


Gruss,
Dani
Bitte warten ..
Mitglied: harald21
09.06.2008 um 14:18 Uhr
Hallo,

woher weißt du, das die fremden Mails wirklich von diesem Server stammen und nicht bloß die Absenderadresse gefälscht wurde?

mfg
Harald
Bitte warten ..
Mitglied: 51705
09.06.2008 um 23:12 Uhr
Hallo,

ich würde bei deiner Beschreibung eher auf Bounces tippen. Was meint denn die Nachrichtenverfolgung?

Grüße, Steffen
Bitte warten ..
Mitglied: Diablo84hls
10.06.2008 um 15:54 Uhr
Hi zusammen,

danke für die Tipps.

Trojaner-Scanner hat nichts gebracht.
Ok, Bounces sagt mir jetzt leider nichts. So was wie Hops (Metrik)? Aber wieso können die Mails dann über dem Exchange des Kunden?

Die fremden Mails kommen auf jeden Fall von diesem Server, da der Exchange nicht direkt ins Netz versendet sondern über eine Internet Appliance, die für den Exchange als Mail-Relay dient. In den Logs dieser Appliance ist bei diesen Mails definitiv der Exchange der Versender.

MfG
Heiko
Bitte warten ..
Mitglied: harald21
11.06.2008 um 12:24 Uhr
Hallo,

Bounces sind Unzustellbarkeitsnachrichten. Was steht denn in der Nachrichtenverfolgung des Exchange-Servers?

mfg
Harald
Bitte warten ..
Mitglied: Diablo84hls
11.06.2008 um 13:40 Uhr
Hi,

was genau möchtest du da jetzt wissen? Ich sehe in der Nachrichtenverfolgung ja nur den Absender und die ganzen Empfänger einer solchen E-Mail.

MfG
Heiko
Bitte warten ..
Mitglied: HubertN
11.06.2008 um 15:46 Uhr
Frage erst einmal: Wieso schließt du das offene Relay aus ??? Wie hast du es getestet ???

Aktiviere mal im Exchange das SMTP-Logging. Die Nachrichtenverfolgung gibt net ganz so viel her...

Gruß

Hubert
Bitte warten ..
Mitglied: Diablo84hls
11.06.2008 um 16:49 Uhr
Ich habe einen Test über abuse.net durchgeführt. Hoffe, damit mache ich mich gerade nicht lächerlich
Das Problem ist, dass jetzt nicht mehr von innen gespamt wird. War vorerst eine einmalige sache, deswegen bringt mir das SMTP-Logging nicht viel.
Ich habe letzte Woche einen hardwarebasierten SPAM-Filter eingebaut. Er scannt den gesamten SMTP-Verkehr zwischen Firewall und Exchange-Server. Daher kann es jetzt nicht mehr passieren. Wollte halt nur der Ursache auf die Spur kommen.
Bitte warten ..
Mitglied: HubertN
11.06.2008 um 17:21 Uhr
Wieso solltest du dich damit lächerlich machen ???

Naja - ich würde nun aber trotzdem mal das Logging einschalten. Weil ich persönlich keine gutes Gefühl hätte, bei der Sache hätte. Wenn mal wieder was ist, dann kannst du dann halt nachschauen.

Denn die Frage, wie diesae Mails überhaupt vom Server aus versendet werden knnten, die hast du ja noch nicht geklärt...

Gruß
Hubert
Bitte warten ..
Mitglied: Diablo84hls
11.06.2008 um 17:45 Uhr
Weiß nich, vielleicht ist es ja auch unprofessionell

Ok, ich schalte das Logging mal ein und werde es beobachten.
Danke erstmal für Eure Hilfe.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Sicherheit
Open Bug Bounty: Sicherheitslücken gegen Prämie

Link von ashnod zum Thema Sicherheit ...

Exchange Server
Exchange 2010 SMART Host SMTP Relay Probleme (6)

Frage von dawdad zum Thema Exchange Server ...

Viren und Trojaner
Ransomware für Open Source: ESET warnt vor Linux-Variante von KillDisk (2)

Link von runasservice zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Zusammenarbeit
Als Administrator im Großraumbüro (30)

Frage von Dopamin85 zum Thema Zusammenarbeit ...

Hardware
Laptop ins Salzwasser gefallen (18)

Frage von Marcel94 zum Thema Hardware ...

Hardware
Lenovo Yoga 500 über angeschlossene USB Tastatur booten (13)

Frage von thomasreischer zum Thema Hardware ...

CPU, RAM, Mainboards
Hardware Fragen (12)

Frage von xaver-2 zum Thema CPU, RAM, Mainboards ...