Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fremde Nutzung obwohl kein open Relay?

Frage Microsoft Exchange Server

Mitglied: Diablo84hls

Diablo84hls (Level 1) - Jetzt verbinden

09.06.2008, aktualisiert 11.06.2008, 4886 Aufrufe, 11 Kommentare

Hallo Leute,

ein Kunde hat das Problem, dass von seinem SBS Server aus fremde E-Mails versendet werden.

Absenderadresse:
mailid94136@taxrefund8362.irs.gov

Empfänger:
lemlys@skybest.com; lemley@houston.rr.com; lemleyscatering@sbcglobal.net; lemleysja@sbcglobal.net; lemleznew2000@yahoo.com; lemler@cisco.com; lemle@bex.net; lemlein@aol.com; lemm42@aol.com; lemmafu@aol.com; lemma@lvc.edu; lemlharris@sbcgloblal.net; lemma73@mmisery.com; lemm@yadtel.net; lemlo@mac.com; lemlex@hotmail.com; lemleychiro@hotmail.com; lemlo53@hotmail.com; lemma@globemw.net; lemley.rich@epa.gov

mal so als Beispiel.

Dieser Server ist kein offenes Relay und steht auch hinter einer Firewall. Aktiver Virenscanner ist auf allen PCs und Servern. Ich weiß nicht, wo ich noch suchen soll und bitte euch um Rat.

MfG
Heiko
Mitglied: 16568
09.06.2008 um 13:43 Uhr
Hm, wenn Du das mit Relay DEFINITIV ausschliessen kannst, dann würde ich es mal mit einem Trojaner- oder Rootkit-Scanner von einem anderen Anbieter versuchen.


Lonesome Walker
Bitte warten ..
Mitglied: Dani
09.06.2008 um 13:49 Uhr
Hi,
ich stimme LSW zu...ansonsten schaue doch mal im Logfile von Exchange nach \\servername\servername.LOG nach, woher die Mails kamen. Somit kannst du den Verursacher bsser eingrenzen.


Gruss,
Dani
Bitte warten ..
Mitglied: harald21
09.06.2008 um 14:18 Uhr
Hallo,

woher weißt du, das die fremden Mails wirklich von diesem Server stammen und nicht bloß die Absenderadresse gefälscht wurde?

mfg
Harald
Bitte warten ..
Mitglied: 51705
09.06.2008 um 23:12 Uhr
Hallo,

ich würde bei deiner Beschreibung eher auf Bounces tippen. Was meint denn die Nachrichtenverfolgung?

Grüße, Steffen
Bitte warten ..
Mitglied: Diablo84hls
10.06.2008 um 15:54 Uhr
Hi zusammen,

danke für die Tipps.

Trojaner-Scanner hat nichts gebracht.
Ok, Bounces sagt mir jetzt leider nichts. So was wie Hops (Metrik)? Aber wieso können die Mails dann über dem Exchange des Kunden?

Die fremden Mails kommen auf jeden Fall von diesem Server, da der Exchange nicht direkt ins Netz versendet sondern über eine Internet Appliance, die für den Exchange als Mail-Relay dient. In den Logs dieser Appliance ist bei diesen Mails definitiv der Exchange der Versender.

MfG
Heiko
Bitte warten ..
Mitglied: harald21
11.06.2008 um 12:24 Uhr
Hallo,

Bounces sind Unzustellbarkeitsnachrichten. Was steht denn in der Nachrichtenverfolgung des Exchange-Servers?

mfg
Harald
Bitte warten ..
Mitglied: Diablo84hls
11.06.2008 um 13:40 Uhr
Hi,

was genau möchtest du da jetzt wissen? Ich sehe in der Nachrichtenverfolgung ja nur den Absender und die ganzen Empfänger einer solchen E-Mail.

MfG
Heiko
Bitte warten ..
Mitglied: HubertN
11.06.2008 um 15:46 Uhr
Frage erst einmal: Wieso schließt du das offene Relay aus ??? Wie hast du es getestet ???

Aktiviere mal im Exchange das SMTP-Logging. Die Nachrichtenverfolgung gibt net ganz so viel her...

Gruß

Hubert
Bitte warten ..
Mitglied: Diablo84hls
11.06.2008 um 16:49 Uhr
Ich habe einen Test über abuse.net durchgeführt. Hoffe, damit mache ich mich gerade nicht lächerlich
Das Problem ist, dass jetzt nicht mehr von innen gespamt wird. War vorerst eine einmalige sache, deswegen bringt mir das SMTP-Logging nicht viel.
Ich habe letzte Woche einen hardwarebasierten SPAM-Filter eingebaut. Er scannt den gesamten SMTP-Verkehr zwischen Firewall und Exchange-Server. Daher kann es jetzt nicht mehr passieren. Wollte halt nur der Ursache auf die Spur kommen.
Bitte warten ..
Mitglied: HubertN
11.06.2008 um 17:21 Uhr
Wieso solltest du dich damit lächerlich machen ???

Naja - ich würde nun aber trotzdem mal das Logging einschalten. Weil ich persönlich keine gutes Gefühl hätte, bei der Sache hätte. Wenn mal wieder was ist, dann kannst du dann halt nachschauen.

Denn die Frage, wie diesae Mails überhaupt vom Server aus versendet werden knnten, die hast du ja noch nicht geklärt...

Gruß
Hubert
Bitte warten ..
Mitglied: Diablo84hls
11.06.2008 um 17:45 Uhr
Weiß nich, vielleicht ist es ja auch unprofessionell

Ok, ich schalte das Logging mal ein und werde es beobachten.
Danke erstmal für Eure Hilfe.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Kein DHCP-Relay am Sub-Switch HP (20)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Site to Site VPN (Kein Zugriff von Client auf Remote Server) (3)

Frage von subsee zum Thema Windows Server ...

Windows Netzwerk
gelöst Mac-Adressen suche bei ieee.org und kein Hersteller gefunden (4)

Frage von JoeJoe zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte