torbendietrich
Goto Top

IIs SMTP Server auf Windows 2003 Server

Hallo,

ich brauche ganz dringend Hilfe!

Ich habe einen Windows 2003 Server auf dem ein SMTP Dienst läuft. Heute seh ich zum ersten mal das die Platte voll ist und das der Ordner BADMAIL total überfüllt ist!
In dieses Ordner kommen ungefähr 5 log files pro sekunde. es dauert nicht lange dann sind 2 gb wieder voll und nichts geht mehr.

Kann mir bitte einer weiter helfen? Kann ich dieses BADMAIL Ordner deaktivieren? oder stimmt was anderes nicht?
Die Logfiles gehen immer an sehr seltsame Adressen z.B. asda@url.com.tw oder asdasd@yam.com.tw oder asdasd@ms33.hinet.net

brauche umbedingt ganz schnell Hilfe!

MfG

Torben Dietrich

Content-Key: 60197

Url: https://administrator.de/contentid/60197

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: Dani
Dani 30.05.2007 um 17:28:52 Uhr
Goto Top
Hallo torbendietrich!

Kann mir bitte einer weiter helfen? Kann ich dieses BADMAIL Ordner deaktivieren? oder
stimmt was anderes nicht?
Ich würde mir eher Gedanken machen, warum so viele E-Mails in den Badmail landen. Denn es liegt doch klar auf der Hand, dass ein Einstellungsfehler vorhanden liegt. Könntest du einen kl. Abschnitt einer Log - Datei mal posten. Denn deaktivieren ist sicher nicht die beste Lösung!! Hört sich an, als würdest du voll gemüllt...per Bot o.ä.

Noch etwas zu folgenden Zeilen:
ich brauche ganz dringend Hilfe!
brauche umbedingt ganz schnell Hilfe!
Das bringt dir hier im Forum nichts. Denn sowas ist laut den Diskussionsrichtlinien - die Regeln zu unseren Inhalten nicht gerne gesehen (Regel Nr. 2 - Punkt 7).


Viele Grüße
Dani
Mitglied: Egbert
Egbert 30.05.2007 um 20:59:36 Uhr
Goto Top
Hallo Torben,

das hört sich aber sehr nach einem offenen Relay an. Das solltest Du mal als erstes überprüfen.
Eventuell wird Dein Server als Spamschleuder verwendet.

um den Relay zu testen kannst Du folgendes machen.

Die Webseite www.abuse.net bietet unter der URL http://www.abuse.net/relay.html einen Relaytest an, der als Schnelltest ganz ok ist.

manueller Test

auf kommandozeilenebene

telnet <deinserver> 25
hier sollte sich dein Server dann mit 220 <name> microsoft blablabla server version 0815 melden
helo irgendeine.de
hier kommt die Antwort deines Server zurück mit 250 <name> ipadresse
mail from:<absender@irgendeine.de>
dann kommt von deinem Server wieder eine Antwort zurück
rcpt to:<empfaenger@nochmalneandere.de>
hier könnte schon ein relay denied kommen wenn er das nicht erlaubt
data
<<<< Leerzeile lassen danach beginnt der body
Subject: TEST
bla
bla
bla
. <<<<< der punkt bedeutet ende der nachricht
wenn der server die nachricht jetzt akzeptiert dann ist das ein offenes relay

Es gibt auch eine zweite Möglichkeit
Dur wirst mit directory harvesting vollgemüllt, das heißt man versucht an alle möglichen adressen in deiner Firma was zu schicken mit natürlich gefakten Absenderadressen. Du lässt es aber zu non deliveries zurückzusenden. da diese Domänen oder Benutzer nicht existent sind kommen diese zurück. --> was macht denn Dein SPAM Filter
Wie sind denn die wirklichen Mailwege be9i Dir, ich habe einen anderen Beitrag von Dir gesehen wo Du hier gefragt hast wie die Mailwege bei Dir sind.

das fürs erste

Gruß
Egbert
Mitglied: torbendietrich
torbendietrich 31.05.2007 um 07:30:27 Uhr
Goto Top
Hallo,

danke erst mal für die antworten!
@ Dani, jo du hast hast recht aber ich bin gestern ein wenig in Panik verfallen und hab nicht wirklich drüber nachgedacht. Kommt nicht wieder vor.
Nun zum Problem:
Als erstes ein Ausschnitt aus der Log Datei.
From: postmaster@hstvfw01.hann.muenden.de
To: faicp@ez1000.net
Date: Thu, 31 May 2007 07:11:29 +0200
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann"
X-DSNContext: 7ce717b1 - 1413 - 00000004 - C00402D1
Message-ID: <NjVuMhvqg0000768e@hstvdmzav01.hann.muenden.de>
Subject: Delivery Status Notification (Delay)

This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.

--9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann
Content-Type: text/plain; charset=unicode-1-1-utf-7

This is an automatically generated Delivery Status Notification.

THIS IS A WARNING MESSAGE ONLY.

YOU DO NOT NEED TO RESEND YOUR MESSAGE.

Delivery to the following recipients has been delayed.

rsv2632611@yahoo.com.tw
ssln8434@yahoo.com.tw
sos60916@yahoo.com.tw
vbfpocha@yahoo.com.tw
rubymp5@yahoo.com.tw
subaruvsevo5@yahoo.com.tw
tyc555@yahoo.com.tw
taijishine@yahoo.com.tw
scf3230@yahoo.com.tw
vvv0931884575@yahoo.com.tw
wehwayu@yahoo.com.tw
vovpp@yahoo.com.tw
wer0826@yahoo.com.tw
simonfu83@yahoo.com.tw
tera597491@yahoo.com.tw
w28242001@yahoo.com.tw
wang878872@yahoo.com.tw
v61988770814@yahoo.com.tw
s0910785938@yahoo.com.tw
shan22875@yahoo.com.tw
time@yahoo.com.tw
u2370680@yahoo.com.tw
thebodyshop33@yahoo.com.tw
top0919771878@yahoo.com.tw
vino0814@yahoo.com.tw
weet78@yahoo.com.tw
sharewithyou_tw@yahoo.com.tw
shanda@yahoo.com.tw
waiya0228@yahoo.com.tw
warnliao@yahoo.com.tw
smallfox29@yahoo.com.tw
showbi2002@yahoo.com.tw
tony90085@yahoo.com.tw
silentstep_sd@yahoo.com.tw
weng_s_t@yahoo.com.tw
sfind@yahoo.com.tw
stu90439@yahoo.com.tw
ultraman0290@yahoo.com.tw
saori4624@yahoo.com.tw
suesonin@yahoo.com.tw
whvtw_hr@yahoo.com.tw
summer98449@yahoo.com.tw
sun428.tw@yahoo.com.tw
rjaezpec@yahoo.com.tw
strafwerk@yahoo.com.tw
toro250213@yahoo.com.tw
saul7330@yahoo.com.tw
viragexxx2001@yahoo.com.tw
vernake@yahoo.com.tw
topeggyoyo@yahoo.com.tw
ting908134@yahoo.com.tw
ths0720@yahoo.com.tw
tedmango@yahoo.com.tw


--9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann
Content-Type: message/delivery-status

Reporting-MTA: dns;hstvdmzav01.hann.muenden.de
Received-From-MTA: dns;217.91.64.244
Arrival-Date: Wed, 30 May 2007 16:51:56 +0200

Final-Recipient: rfc822;rsv2632611@yahoo.com.tw
Action: delayed
Status: 4.4.7
Will-Retry-Until: Fri, 1 Jun 2007 16:52:00 +0200

Final-Recipient: rfc822;ssln8434@yahoo.com.tw
Action: delayed
Status: 4.4.7
Will-Retry-Until: Fri, 1 Jun 2007 16:52:00 +020

Ich persönlich kann nur dazu sagen das diese Email Adressen eigentlich hier nichts zu suchen hätten.

@Egbert

ich habe den manuellen Test veruscht durchzuführen aber ab dem "mail from" geht nix mehr.
dann kommt die Fehler Meldung unrecognized parameter "etwas@irgendwas.de"
rctp funktioniert auch nicht face-sad

Also die Mail Wege. Es handelt sich hier bei um einen ISA Server mit Windows 2003 Server. Dieser hat den IIS laufen mit nem SMTP Server. In diesem SMTP Server sind 2 Remote Domänen eingebunden. Das sind halt die beiden Exchange Server die in meiner Domäne arbeiten.

Ich habe auch das Gefühl das irgendwo ein Bot sitzt, der die ganze Zeit versucht Emails zu versenden an Adressen die der SMTP Server nicht findet und der dann diese Log Dateien erstellt.
Jemand ne Idee?!?!

MfG
Torben
Mitglied: sinnlos98
sinnlos98 31.05.2007 um 14:15:13 Uhr
Goto Top
Hi, der manuelle Test sollte schon so laufen bzw. mit einer Ablehung antworten. Wenn du dich mit Telnet verbindest ist leider der Nachteil, wenn du dich einmal in einer Zeile vertippt hast, und es löscht, wird trotzdem der Command nicht richtig ausgeführt. Am besten langsam und genau hinsehen und sich pro Zeile nicht vertippen, dann funktioniert das ganze, ganz sicher.

Sollte der Server die Nachricht annehmen und nicht verwerfen solltes du dringend die Konfiguration deines Relays überprüfen. Dann hast du auf jeden Fall ein offenes Relay.

Nutze verschieden Virenscanner um deinen Server zu scannen. Derweil gibt es auch schon von diversen Herstellern online Scanner die dir das System wieder säubern. Um die Datenlast abzuarbeiten wäre es vielleicht nicht ganz unsinnig den SMTP-Dienst zu deaktivieren. Dann kannst du in aller Ruhe erstmal die Mails und Logs auswerten bzw. entfernen. Lasse am besten in diesem Status die Virenscanner über den Server laufen.

MfG
sinnlos98
Mitglied: torbendietrich
torbendietrich 31.05.2007 um 14:44:36 Uhr
Goto Top
Hallo,

jap ich hab den SMTP-Dienst angehalten. und erst ma die Mengen an Datein in Ruhe ausgewertet und entfernt. Da sich der ISA Server mit einen Interface in einer DMZ befindet und das andere Interface zur den Exchange geht, hab ich erst ma Interface 2 deaktiviert. Und siehe da, es kamen keine Badmail mehr rein. Also konnte es nicht am ISA Server liegen. Jetzt hab ich den Anti-Spam Dienst, der auf dem Exchange liegt einfach mal neugestartet und seid dem kam nur noch eine Badmail rein. Es war wohl tatsächlich so, dass der ANTI-SPAM Unzustellbarkeitsnachrichten von Spam Nachrichten verschicken wollte und diese eine Endlosschleife ergeben haben. Also seid heute Morgen läuft alles wieder prima, mal schauen obs es so bleibt.

MfG

Torben
Mitglied: Egbert
Egbert 31.05.2007 um 14:47:48 Uhr
Goto Top
Hallo Torben,

also dein Mail02 relayed nicht auf den mail01 komme ich nicht.
Du solltest übrigens nicht die komplette log mit allen namen veröffentlichen.
dürfen denn alle internen Clients an den SMTP ran? vielleicht hat sich da einer was eingefangen und schleudert jetzt fleißig.
Stopp doch auf dem Exchange malo den SMTP ob der ISA immer noch vollgemüllt wird oder schau in den nachrichtenstatus nach was da passiert.

Und lasse auf den Server auf denen SMTP läuft auch nur die Server zu die SMTP machen dürfen und keine Clients die nichts zu suchen haben.
Gruß
Egbert