Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mailserversperrung durch Spamversand

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Eisern

Eisern (Level 1) - Jetzt verbinden

21.08.2008, aktualisiert 22.09.2008, 6281 Aufrufe, 4 Kommentare

Hallo,

ich benötige mal Hilfe bezüglich eines angeblichen Trojaners welcher massenhaft Mails über uns versendet.

Wir haben einen W2k3 SBS mit Exchange, der über eine statische IP erreichbar ist. Gestern habe ich PopCon und McAfee SpamKiller installiert und auch konfiguriert um die hier ankommenden Spam Mails (ca. 400 am Tag) entsprechend zu bekämpfen. Erste Test laufen auch sehr vielversprechend.
Irgendwie können wir jedoch seit gestern keine Mails versenden. Lediglich der Versand an Mailempfänger in der eigenen Domain funktioniert.

Da es sich mit der Installation von PopCon und des SpamKillers überschnitten hat, habe ich hier testweise alle entsprechenden Dienste deaktiviert. Wir erhielten immer die Fehlermeldung "Ihr Mailsserver wurde aufgrund von DoS/Spam temp. gesperrt."

Ein Anruf beim Provider brachte dann die Aussage das bei ihm unsere IP gesperrt wurde, da hier ungewöhnlich viele Mails versendet wurden. Es viel das Wort Trojaner.

Daraufhin aktualisierte ich unseren Virenscanner (McAfee VirusScan Enterprise 8.5.0i) und startet einen Komplettscan. Ebenso machte ich einen Kaspersky OnlineScan. Beide Scans waren ohne Befund. HijackThis brachte auch keine negativen Einträge.

Was kann ich noch machen um zu prüfen ob hier was geschieht, was sich meiner Kenntnis entzieht?

Auf dem Bereich mit abhören von Ports oder so, habe ich überhaupt keine Ahnung.

Was ich noch liefern könnte wäre ein Protokoll des LokalPortScanners.

Vielen Dank für jegliche Unterstützung.

Mit freundlichen Grüßen aus Berlin

Tom
Mitglied: DocDOS
21.08.2008 um 11:33 Uhr
Hallo,

so, wie das klingt, scheint ein Client bei euch sich so einen Trojaner gefangen zu haben. Überprüf mal die Logs, ob jemand unnatürlich viele Mails bei euch versendet.

prüf auch mal die Möglichkeit, ob du den Mailversand über eine andere statische IP abwickeln kannst (meistens bieten die S-DSL, bzw. InterConnect-Anbieter 5-8 statische IPs an); zumindest müsste dann der Mailversand fürs Erste wieder funktionieren.
Dann den Provider anrufen und ihn über diesen Zustand informieren, vielleicht können die Dir da schon weiterhelfen, bez. Entsperrung.

Unser Unternehmen hat für den Spam-Ein- und -Ausgang Kaspersky Hosted Security gewählt, sehr gut, schnell und zuverlässig. Die Mails werden außerhalb eurer Organisation bereits gefiltert, und ein "Outbreak" in dem Fall schon verhindert, weil als Smart-Host KHSS eingetragen ist. Deine Firewall stellst Du dann nur so ein, daß Port 25 nur für die KHSS-IPs erreichbar ist.. somit ist auch die Spam-Schleudergefahr gebannt.

Mit freundlichen Grüßen
DocDOS
Bitte warten ..
Mitglied: Eisern
21.08.2008 um 11:47 Uhr
Hallo und Danke für die Unterstützung,

leider habe ich keinen Plan wie ich die Logs auf Mailversand prüfen kann.
Wo mache ich das?

Mit dem Provider habe ich gesprochen, wenn ich der Meinung bin das alles ok ist, entsperren die das wieder. Nach 3maligen Sperren allerdings wird es schwer wieder zu entsperren, deshalb wollte ich erstmal genau prüfen, auch wenn es innerhalb von 2 Jahren erst die erste Sperrung ist.

Mit freundlichen Grüßen
Tom
Bitte warten ..
Mitglied: DocDOS
21.08.2008 um 12:05 Uhr
Hallo Tom,

ich hab hier etwas gefunden: http://www.computerperformance.co.uk/exchange2003/exchange2003_logs_SMT ... ist zwar in englisch, könnte dir aber bei deinem Problem enorm helfen. Das Programm ist kostenlos, musst Dich nur registrieren.

am einfachsten und schnellsten für Dich jetzt düfte es sein, die Logfiles mit Excel zu analysieren. Wie das geht, erfährst du hier: http://www.msexchange.org/tutorials/Logging_the_SMTP_Service.html (leider auch wieder in englisch)

Ich hoffe, es hilft Dir ein wenig
Bitte warten ..
Mitglied: x3n0n-pc
22.09.2008 um 08:49 Uhr
Hallo Tom,

also ich finde die Sache mit dem Massenmail-Versand riecht nach Bot oder Wurm. Weniger nach Trojaner.

Inspizier natürlich erstmal die Log-Files. Sollte es ein Bot sein, dann wundere dich allerdings nicht wenn euer halbes LAN infiltriert ist. Diese Mistviecher spreaden wie verrückt. Nicht nur per E-Mail. Auch per Exploits im LAN und WAN. Zudem könnten die betroffenen Rechner z.B. als Zombie für einen DDoS-Angriff genutzt werden.

Dann hättet ihr wieder die Sperre.

Also guck dir bitte, bitte das Log-File an und wenn der Angriff von mehreren PCs kommt und dein Antiviren Scanner den nicht geklöscht kriegt (nutze auch Rootkit-Scanner, sind beliebt in dem Bereich) dann formatier die infizierten Rechner sonst wirst das Problem nie los.

Mit freundlichen Grüßen Daniel
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...