Hilfe bei Auswertung von Bounce Mail - Spam
Hallo zusammen ,
da ich leider noch nicht so viel mit der Materie zu tun hatte, wollte ich fragen, ob mir jemand bei der Auswertung von Bounce Mails helfen kann. Seit heute werden wieder Spam/Virus Mails von einer Mailadresse von uns versendet.
System: SBS 2011 mit Exchange Server -> ruft per imap Mails von einem Provider (kasserver.com) ab
Wir hatten das Problem schon einmal, was aber nach Passwortänderung scheinbar behoben war... es kommen jetzt wieder regelmäßig zig Bounce Mails an und "Beschwerden" von Kunden, dass eine Mitarbeiterin Spam verschicken würde...
Hier eine Beispiel Mail:
Seh ich das richtig, dass sie wirklich von unserem Server kommt?
Vielen Dank im Voraus
da ich leider noch nicht so viel mit der Materie zu tun hatte, wollte ich fragen, ob mir jemand bei der Auswertung von Bounce Mails helfen kann. Seit heute werden wieder Spam/Virus Mails von einer Mailadresse von uns versendet.
System: SBS 2011 mit Exchange Server -> ruft per imap Mails von einem Provider (kasserver.com) ab
Wir hatten das Problem schon einmal, was aber nach Passwortänderung scheinbar behoben war... es kommen jetzt wieder regelmäßig zig Bounce Mails an und "Beschwerden" von Kunden, dass eine Mitarbeiterin Spam verschicken würde...
Hier eine Beispiel Mail:
Ursprüngliche Nachrichtenkopfzeilen:
Return-Path: <betroffene-email@firma.de>
Received: from remote.firma.de
(business-176-094-170-087.static.arcor-ip.net [176.94.170.87]) by
dd14330.kasserver.com (Postfix) with ESMTPSA id 481924BE1B3E; Tue, 5 May
2015 12:07:23 +0200 (CEST)
Received: from SBSSERVER.unsere.domäne ([fe80::241a:31c9:60d0:30c3]) by
SBSSERVER.kts.local ([fe80::241a:31c9:60d0:30c3%13]) with mapi id
14.01.0438.000; Tue, 5 May 2015 12:06:48 +0200
From: =?utf-8?B?QW5kcmVhIE3DvG50ZXI=?= <betroffene-email@firma.de>
To: diverse kunden adressen...
Subject: Document for May 5
Thread-Topic: Document for May 5
Thread-Index: AdCHGzB+B4nZmAlmQ/eWU2vHKEMaVA==
Date: Tue, 5 May 2015 10:06:44 +0000
Message-ID: <4DC5CE969D8D7548A2E615B2A6B01C2E01FEA41233@SBSSERVER.unsere.domäne>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.0.42]
x-tm-as-product-ver: SMEX-10.1.0.2244-7.500.1018-21522.002
x-tm-as-result: Yes-13.946200-5.000000-31
x-tm-as-user-approved-sender: No
x-tm-as-user-blocked-sender: No
Content-Type: multipart/mixed;
boundary="_004_4DC5CE969D8D7548A2E615B2A6B01C2E01FEA41233SBSSERVERktsl_"
MIME-Version: 1.0
Seh ich das richtig, dass sie wirklich von unserem Server kommt?
Vielen Dank im Voraus
Please also mark the comments that contributed to the solution of the article
Content-Key: 271117
Url: https://administrator.de/contentid/271117
Printed on: April 25, 2024 at 12:04 o'clock
4 Comments
Latest comment
Hi,
Ja, so ist es.
Schau mal bei MXTOOLBOX. Dort kannst du unter anderem eine Header-Analyze durchführen. Die Grafik zeigt dir dann, was genau im Header steht.
Im Übrigen solltest du die Blacklistüberprüfung mal genauer ansehen, dass sieht nicht gut aus.
Ja, so ist es.
Schau mal bei MXTOOLBOX. Dort kannst du unter anderem eine Header-Analyze durchführen. Die Grafik zeigt dir dann, was genau im Header steht.
Im Übrigen solltest du die Blacklistüberprüfung mal genauer ansehen, dass sieht nicht gut aus.
Moin,
also wenn hier tatsächlich an echte Kunden-Adressen versendet wurden, und die MSG ID tatsächlich bei euch auf dem Exchange existiert, dann solltest Du mal schleunigst den PC der Kollegin vom Netz trennen und am besten gleich formatieren und neu aufsetzten. Die Vermutung liegt dann nämlich nahe, das da ein Trojaner drauf ist.
lg,
Slainte
also wenn hier tatsächlich an echte Kunden-Adressen versendet wurden, und die MSG ID tatsächlich bei euch auf dem Exchange existiert, dann solltest Du mal schleunigst den PC der Kollegin vom Netz trennen und am besten gleich formatieren und neu aufsetzten. Die Vermutung liegt dann nämlich nahe, das da ein Trojaner drauf ist.
lg,
Slainte