Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mailserversperrung durch Spamversand

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Eisern

Eisern (Level 1) - Jetzt verbinden

21.08.2008, aktualisiert 22.09.2008, 6366 Aufrufe, 4 Kommentare

Hallo,

ich benötige mal Hilfe bezüglich eines angeblichen Trojaners welcher massenhaft Mails über uns versendet.

Wir haben einen W2k3 SBS mit Exchange, der über eine statische IP erreichbar ist. Gestern habe ich PopCon und McAfee SpamKiller installiert und auch konfiguriert um die hier ankommenden Spam Mails (ca. 400 am Tag) entsprechend zu bekämpfen. Erste Test laufen auch sehr vielversprechend.
Irgendwie können wir jedoch seit gestern keine Mails versenden. Lediglich der Versand an Mailempfänger in der eigenen Domain funktioniert.

Da es sich mit der Installation von PopCon und des SpamKillers überschnitten hat, habe ich hier testweise alle entsprechenden Dienste deaktiviert. Wir erhielten immer die Fehlermeldung "Ihr Mailsserver wurde aufgrund von DoS/Spam temp. gesperrt."

Ein Anruf beim Provider brachte dann die Aussage das bei ihm unsere IP gesperrt wurde, da hier ungewöhnlich viele Mails versendet wurden. Es viel das Wort Trojaner.

Daraufhin aktualisierte ich unseren Virenscanner (McAfee VirusScan Enterprise 8.5.0i) und startet einen Komplettscan. Ebenso machte ich einen Kaspersky OnlineScan. Beide Scans waren ohne Befund. HijackThis brachte auch keine negativen Einträge.

Was kann ich noch machen um zu prüfen ob hier was geschieht, was sich meiner Kenntnis entzieht?

Auf dem Bereich mit abhören von Ports oder so, habe ich überhaupt keine Ahnung.

Was ich noch liefern könnte wäre ein Protokoll des LokalPortScanners.

Vielen Dank für jegliche Unterstützung.

MfG aus Berlin

Tom
Mitglied: DocDOS
21.08.2008 um 11:33 Uhr
Hallo,

so, wie das klingt, scheint ein Client bei euch sich so einen Trojaner gefangen zu haben. Überprüf mal die Logs, ob jemand unnatürlich viele Mails bei euch versendet.

prüf auch mal die Möglichkeit, ob du den Mailversand über eine andere statische IP abwickeln kannst (meistens bieten die S-DSL, bzw. InterConnect-Anbieter 5-8 statische IPs an); zumindest müsste dann der Mailversand fürs Erste wieder funktionieren.
Dann den Provider anrufen und ihn über diesen Zustand informieren, vielleicht können die Dir da schon weiterhelfen, bez. Entsperrung.

Unser Unternehmen hat für den Spam-Ein- und -Ausgang Kaspersky Hosted Security gewählt, sehr gut, schnell und zuverlässig. Die Mails werden außerhalb eurer Organisation bereits gefiltert, und ein "Outbreak" in dem Fall schon verhindert, weil als Smart-Host KHSS eingetragen ist. Deine Firewall stellst Du dann nur so ein, daß Port 25 nur für die KHSS-IPs erreichbar ist.. somit ist auch die Spam-Schleudergefahr gebannt.

mfg
DocDOS
Bitte warten ..
Mitglied: Eisern
21.08.2008 um 11:47 Uhr
Hallo und Danke für die Unterstützung,

leider habe ich keinen Plan wie ich die Logs auf Mailversand prüfen kann.
Wo mache ich das?

Mit dem Provider habe ich gesprochen, wenn ich der Meinung bin das alles ok ist, entsperren die das wieder. Nach 3maligen Sperren allerdings wird es schwer wieder zu entsperren, deshalb wollte ich erstmal genau prüfen, auch wenn es innerhalb von 2 Jahren erst die erste Sperrung ist.

MfG
Tom
Bitte warten ..
Mitglied: DocDOS
21.08.2008 um 12:05 Uhr
Hallo Tom,

ich hab hier etwas gefunden: http://www.computerperformance.co.uk/exchange2003/exchange2003_logs_SMT ... ist zwar in englisch, könnte dir aber bei deinem Problem enorm helfen. Das Programm ist kostenlos, musst Dich nur registrieren.

am einfachsten und schnellsten für Dich jetzt düfte es sein, die Logfiles mit Excel zu analysieren. Wie das geht, erfährst du hier: http://www.msexchange.org/tutorials/Logging_the_SMTP_Service.html (leider auch wieder in englisch)

Ich hoffe, es hilft Dir ein wenig
Bitte warten ..
Mitglied: x3n0n-pc
22.09.2008 um 08:49 Uhr
Hallo Tom,

also ich finde die Sache mit dem Massenmail-Versand riecht nach Bot oder Wurm. Weniger nach Trojaner.

Inspizier natürlich erstmal die Log-Files. Sollte es ein Bot sein, dann wundere dich allerdings nicht wenn euer halbes LAN infiltriert ist. Diese Mistviecher spreaden wie verrückt. Nicht nur per E-Mail. Auch per Exploits im LAN und WAN. Zudem könnten die betroffenen Rechner z.B. als Zombie für einen DDoS-Angriff genutzt werden.

Dann hättet ihr wieder die Sperre.

Also guck dir bitte, bitte das Log-File an und wenn der Angriff von mehreren PCs kommt und dein Antiviren Scanner den nicht geklöscht kriegt (nutze auch Rootkit-Scanner, sind beliebt in dem Bereich) dann formatier die infizierten Rechner sonst wirst das Problem nie los.

mfg Daniel
Bitte warten ..
Ähnliche Inhalte
E-Mail
Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann
Anleitung von LordGurkeE-Mail10 Kommentare

Wieso steht da unsere Domain im Absender? Das kann doch nicht sein! Die Absenderadresse einer E-Mail kann man genau ...

Neue Wissensbeiträge
Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 2 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 3 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 7 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 13 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
Frage von Winfried-HHBatch & Shell15 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...