4
Hilfe bei Auswertung von Bounce Mail - Spam
Hallo zusammen 
,
da ich leider noch nicht so viel mit der Materie zu tun hatte, wollte ich fragen, ob mir jemand bei der Auswertung von Bounce Mails helfen kann. Seit heute werden wieder Spam/Virus Mails von einer Mailadresse von uns versendet.
System: SBS 2011 mit Exchange Server -> ruft per imap Mails von einem Provider (kasserver.com) ab
Wir hatten das Problem schon einmal, was aber nach Passwortänderung scheinbar behoben war... es kommen jetzt wieder regelmäßig zig Bounce Mails an und "Beschwerden" von Kunden, dass eine Mitarbeiterin Spam verschicken würde...
Hier eine Beispiel Mail:
Seh ich das richtig, dass sie wirklich von unserem Server kommt?
Vielen Dank im Voraus
,da ich leider noch nicht so viel mit der Materie zu tun hatte, wollte ich fragen, ob mir jemand bei der Auswertung von Bounce Mails helfen kann. Seit heute werden wieder Spam/Virus Mails von einer Mailadresse von uns versendet.
System: SBS 2011 mit Exchange Server -> ruft per imap Mails von einem Provider (kasserver.com) ab
Wir hatten das Problem schon einmal, was aber nach Passwortänderung scheinbar behoben war... es kommen jetzt wieder regelmäßig zig Bounce Mails an und "Beschwerden" von Kunden, dass eine Mitarbeiterin Spam verschicken würde...
Hier eine Beispiel Mail:
Ursprüngliche Nachrichtenkopfzeilen:
Return-Path: <betroffene-email@firma.de>
Received: from remote.firma.de
(business-176-094-170-087.static.arcor-ip.net [176.94.170.87]) by
dd14330.kasserver.com (Postfix) with ESMTPSA id 481924BE1B3E; Tue, 5 May
2015 12:07:23 +0200 (CEST)
Received: from SBSSERVER.unsere.domäne ([fe80::241a:31c9:60d0:30c3]) by
SBSSERVER.kts.local ([fe80::241a:31c9:60d0:30c3%13]) with mapi id
14.01.0438.000; Tue, 5 May 2015 12:06:48 +0200
From: =?utf-8?B?QW5kcmVhIE3DvG50ZXI=?= <betroffene-email@firma.de>
To: diverse kunden adressen...
Subject: Document for May 5
Thread-Topic: Document for May 5
Thread-Index: AdCHGzB+B4nZmAlmQ/eWU2vHKEMaVA==
Date: Tue, 5 May 2015 10:06:44 +0000
Message-ID: <4DC5CE969D8D7548A2E615B2A6B01C2E01FEA41233@SBSSERVER.unsere.domäne>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.0.42]
x-tm-as-product-ver: SMEX-10.1.0.2244-7.500.1018-21522.002
x-tm-as-result: Yes-13.946200-5.000000-31
x-tm-as-user-approved-sender: No
x-tm-as-user-blocked-sender: No
Content-Type: multipart/mixed;
boundary="_004_4DC5CE969D8D7548A2E615B2A6B01C2E01FEA41233SBSSERVERktsl_"
MIME-Version: 1.0
Seh ich das richtig, dass sie wirklich von unserem Server kommt?
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271117
Url: https://administrator.de/contentid/271117
Printed on: April 25, 2024 at 12:04 o'clock
4 Comments
Latest comment
Hi,
Ja, so ist es.
Schau mal bei MXTOOLBOX. Dort kannst du unter anderem eine Header-Analyze durchführen. Die Grafik zeigt dir dann, was genau im Header steht.
Im Übrigen solltest du die Blacklistüberprüfung mal genauer ansehen, dass sieht nicht gut aus.
Ja, so ist es.
Schau mal bei MXTOOLBOX. Dort kannst du unter anderem eine Header-Analyze durchführen. Die Grafik zeigt dir dann, was genau im Header steht.
Im Übrigen solltest du die Blacklistüberprüfung mal genauer ansehen, dass sieht nicht gut aus.
Moin,
also wenn hier tatsächlich an echte Kunden-Adressen versendet wurden, und die MSG ID tatsächlich bei euch auf dem Exchange existiert, dann solltest Du mal schleunigst den PC der Kollegin vom Netz trennen und am besten gleich formatieren und neu aufsetzten. Die Vermutung liegt dann nämlich nahe, das da ein Trojaner drauf ist.
lg,
Slainte
also wenn hier tatsächlich an echte Kunden-Adressen versendet wurden, und die MSG ID tatsächlich bei euch auf dem Exchange existiert, dann solltest Du mal schleunigst den PC der Kollegin vom Netz trennen und am besten gleich formatieren und neu aufsetzten. Die Vermutung liegt dann nämlich nahe, das da ein Trojaner drauf ist.
lg,
Slainte
Hi,
vielen Dank schon mal
Ja, die Blacklistprüfung ist wirklich nicht berauschend... aber immerhin sind wir nur auf einer drauf... :/
Der Rechner ist schon länger aus, seitdem kommt auch nichts mehr. Entweder liegt es wirklich an einem Trojaner o.ä. oder die erneute Passwortänderung hat was gebracht (oder auch beides...).
Ich hatte letztes mal schon mehrere Antivirenprogramme drüber laufen lassen, die nichts gefunden haben. Vielleicht muss ich ihn wirklich ganz neu aufsetzen.
vielen Dank schon mal
Ja, die Blacklistprüfung ist wirklich nicht berauschend... aber immerhin sind wir nur auf einer drauf... :/
Der Rechner ist schon länger aus, seitdem kommt auch nichts mehr. Entweder liegt es wirklich an einem Trojaner o.ä. oder die erneute Passwortänderung hat was gebracht (oder auch beides...).
Ich hatte letztes mal schon mehrere Antivirenprogramme drüber laufen lassen, die nichts gefunden haben. Vielleicht muss ich ihn wirklich ganz neu aufsetzen.
So, wollte kurz das Resultat posten.
Habe neben Trend Micro noch Malwarebytes drüber laufen lassen. Malwarebytes hat auch was gefunden und entfernt. Ich lasse das System jetzt erstmal so weiter laufen und hoffe, dass alles schädliche entfernt wurde.
Vielen Dank nochmal für die Hilfe!!
Habe neben Trend Micro noch Malwarebytes drüber laufen lassen. Malwarebytes hat auch was gefunden und entfernt. Ich lasse das System jetzt erstmal so weiter laufen und hoffe, dass alles schädliche entfernt wurde.
Vielen Dank nochmal für die Hilfe!!
