Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Relay Problem mit Exchange 2003

Frage Microsoft Exchange Server

Mitglied: bunfried

bunfried (Level 1) - Jetzt verbinden

07.09.2009, aktualisiert 09:02 Uhr, 6995 Aufrufe, 12 Kommentare

NDR-Attacke auf Exchange 2003

Ich hab einen fully-patched-SBS 2003 mit Exchange 2003 und ein massives Relay-Problem, obwohl alle relay-Möglichkeiten deaktiviert sind -> siehe attachments

Das Problem tritt erst seit kurzem auf, aber dafür umso heftiger. Gestern mußte ich über 110.000 Mails eliminieren.....

Bin im Moment ziemlich ratlos und hab den SMTP-Port auf der Firewall deaktiviert, damit der Server nicht abschmiert.
Mitglied: Micki
07.09.2009 um 09:28 Uhr
Leider kann man die Attachments nicht finden. Ich vermute mal der Exchange hängt mit einer festen IP direkt im Netz? Auch ist nicht klar woher die Mails kommen Außen oder innen. Evtl. ist auch ein Client gekapert?

Ich würde folgendes machen: Konfigurieren:
1. alle dürfen den SMTP verwenden bis auf folgende Domains / IPs und Netze da hab ich mittlerweile 1000-2000 Einträge drin.
2. ich verwende die Nixspam Liste als Blacklist von heise
3. ich habe Graylisting installiert die Freeversion JEP(S)

Könnte evtl eine Erste Hilfe sein. Dan auf den Cliensts und Server nach bösartiger Software suchen.
Bitte warten ..
Mitglied: Micki
07.09.2009 um 09:34 Uhr
hab folgenden Link noch gefunden http://support.microsoft.com/kb/886208/de
Bitte warten ..
Mitglied: bunfried
07.09.2009 um 09:43 Uhr
Ja, es gibt eine fixe IP-Adresse und die Angriffe kommen von außen. Eine ganze Brigade von Rechnern versucht über den SMTP-Port das relay auszunutzen.

Ich habe auch auf dieser Website (http://www.rbl.jp/svcheck.php) einen relay-Test gemacht, der mit die Relay-Funktion bestätigt hat. Allerdings hab ich es mit einem anderen (ident konfigurierten) Server verglichen, dem keine Relay-Funktion attestiert wird.
Bitte warten ..
Mitglied: bunfried
07.09.2009 um 09:44 Uhr
Den Artikel hab ich mir schon gestern gegeben. Der hat mir nur beim Löschen der Queue geholfen (hat lächerliche 6 Stunden gedauert).

Die relay-Einstellungen passen!!!!?????
Bitte warten ..
Mitglied: Micki
07.09.2009 um 10:08 Uhr
Also Punkt 1 Meiner Vorschläge wäre da das Mittel der Wahl.
Ich würde mit den IP's anfangen die den Angrif machen.
Hier mal noch ein Einblick in meine Liste der Verbote für den Virtuellen Standartserver:
IP Mask
139.82.0.0 225.225.0.0
147.65.0.0 250.250.0.0
146.164.0.0 250.250.0.0
189.0.0.0 250.128.0.0
200.128.0.0 255.128.0.0
88.0.0.0 255.224.0.0
.
.
.

Ich hab mir die danach zusammen gestellt, welche Länder und ISP ich drausen haben wil. Das sind jetzt dann aber Details die man net pauschal festlegen kann. Hab z. B. Brasilianische Telekom gesperrt, diverses aus China und Russland.
Bitte warten ..
Mitglied: bunfried
07.09.2009 um 10:13 Uhr
Ich hab bei einem Mail-Relay-Test herausgefunden, daß es hier etwas zu tun gibt. Allerdings weiß ich mit dem Ergebnis noch nicht so recht etwas anzufangen.

Mail Relay testing.
Connecting to MAILSERVER for test ...


<<< 220 DOMAIN Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Mon, 7 Sep 2009 09:58:41 +0200
HELO h.rbl.jp
<<< 250 DOMAIN Hello [192.168.1.1]


Relay test 0
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@h.rbl.jp>
<<< 250 2.1.0 rlychk@h.rbl.jp....Sender OK
RCPT TO: <rlytest@rbl.jp>
<<< 250 2.1.5 rlytest@rbl.jp
relay accepted!!

Relay test 1
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk>
<<< 250 2.1.0 rlychk@DOMAIN....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 2
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <>
<<< 250 2.1.0 <>....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 3
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 4
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@[IP]>
<<< 250 2.1.0 rlychk@[IP]....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 5
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <rlytest%h.rbl.jp@MAILSERVER>
<<< 250 2.1.5 rlytest%h.rbl.jp@MAILSERVER
relay accepted!!

Relay test 6
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <rlytest%h.rbl.jp@[IP]>
<<< 250 2.1.5 rlytest%h.rbl.jp@[IP]
relay accepted!!




Relay test 10
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <"rlytest@h.rbl.jp"@MAILSERVER>
<<< 250 2.1.5 "rlytest@h.rbl.jp"@MAILSERVER
relay accepted!!

Relay test 11
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <"rlytest@h.rbl.jp"@[IP]>
<<< 250 2.1.5 "rlytest@h.rbl.jp"@[IP]
relay accepted!!

Relay test 12
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <@MAILSERVER:rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 13
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <@[IP]:rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!


Relay test 15
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <h.rbl.jp!rlytest@MAILSERVER>
<<< 250 2.1.5 h.rbl.jp!rlytest@MAILSERVER
relay accepted!!

Relay test 16
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@MAILSERVER>
<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK
RCPT TO: <h.rbl.jp!rlytest@[IP]>
<<< 250 2.1.5 h.rbl.jp!rlytest@[IP]
relay accepted!!



Relay test 19
RSET
<<< 250 2.0.0 Resetting
MAIL FROM: <rlychk@localhost>
<<< 250 2.1.0 rlychk@localhost....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Closing connection ...

QUIT
<<< 221 2.0.0 DOMAIN Service closing transmission channel

Relay test result
All tests performed, 14 relays accepted.
Bitte warten ..
Mitglied: Pjordorf
07.09.2009 um 12:03 Uhr
Hallo bunfried,

sei mir nicht böse, aber ich denke du brauchst einen Fachmann der dir weiterhilft.

Du behauptest das dein Server nicht als relay arbeiten kann. Die von dir vorgelegten Testprotokolle (viel zu lang) sagen es gibt 14 Relays und du fragst jetzt warum? Selbst deine angekündigten "Attachments" hat ausser dir noch keiner gesehen.

Fakten:
Du hast einen SBS 2003 (R2 oder nicht R2).
Fully Patched - Schön, hat aber mit deinem Problem nichts zu tun. Patches helfen nicht gegen relay Betrieb.
Problem erst seit kurzer Zeit - Ich denke schon länger, nur nicht so massiv
110,000 Mails gehen bei dir raus (du vermutest von ausserhalb)
hast Port 25 an der Firewall (welche und wo und welche richtung) gesperrt
Du behauptest Realy nicht möglich - Protokolle und deine Aussage von 09:43 beweisen gegenteiliges.
Postest ein langes protokoll und gibst noch nicht mal einen Kommentar dazu ab. (Warum sollen wir deine Arbeit tun)

das du von Exchange nicht viel verstehst solltest du einsehen.

Dein freund könnte hier sein:
http://technet.microsoft.com/en-us/kb/kb00324958.aspx
http://support.microsoft.com/kb/895853
http://www.msxfaq.de/konzepte/smtprelay.htm
http://www.msxfaq.de/internet/relay2000.htm

Peter
Bitte warten ..
Mitglied: bunfried
07.09.2009 um 12:26 Uhr
Danke vorweg für die links, die ich mir aber schon alle zu Gemüte geführt habe.

Warum die attachments nicht hochgeladen wurde, entzieht sich meiner Kenntnis. Trotzdem brauche ich keine patzigen Antworten a la "das du von Exchange nicht viel verstehst solltest du einsehen."

Damit die Fakten klar sind. Es handelt sich um einen SBS 2003 (die Bezeichnung nicht r2 hat Microsoft wohl bei der Produkteinführung verabsäumt).
Gepatcht kann durchaus ein Hinweis, falls man sich Schadcode über eine Sicherheitslücke eingeschleust hat.
Von einer Vermutung war nie eine Rede. Eher mehr von relay.
Port 25 sperren bei einem Mailserver wird wohl den inbound betreffen, da Ports nach außen üblicherweise aufgestoßen werden können. Kann man aber ruhig explizit erwähnen.
Von der exchange-Einstellung sind alle Möglichkeiten für relays abgedreht. Gerade den Widerspruch im Protokoll sehe ich als diskussionswürdig an.

Inzwischen habe ich eine Fehlfunktion der Firewall entdeckt, die mit Reaktivierung derselben behoben sein dürfte.

Trotzdem Dank an alle die mir bei der Fehlersuche behilflich waren.
Bitte warten ..
Mitglied: Tobias-Azubi
07.09.2009 um 12:42 Uhr
Zitat von bunfried:

>Trotzdem brauche ich keine patzigen Antworten a la "das
du von Exchange nicht viel verstehst solltest du einsehen."



Hallo,
Sie haben es ja nicht mal für nötig empfunden die Tageszeit zu sagen.
Desweiteren sollten sie vllt auch sagen welchen Relay-Test sie verwendet haben. Wir können ja schließlich nicht hellsehen und alle Logs auswendig auch nicht ;) Fürs nächste mal vielleicht merken.

Mit freundlichen Grüßen Tobias
Bitte warten ..
Mitglied: bunfried
07.09.2009 um 12:45 Uhr
Desweiteren sollten sie vllt auch sagen welchen Relay-Test sie
verwendet haben. Wir können ja schließlich nicht hellsehen
und alle Logs auswendig auch nicht ;) Fürs nächste mal
vielleicht merken.


Gute Idee. Auch wenn ich in meinem Post folgendes geschrieben habe:

"Ich habe auch auf dieser Website (http://www.rbl.jp/svcheck.php) einen relay-Test gemacht........."
Bitte warten ..
Mitglied: Pjordorf
07.09.2009 um 13:24 Uhr
Hallo bunfried,

Danke vorweg für die links, die ich mir aber schon alle zu
Gemüte geführt habe.
das konnte niemand hier wissen. unsere Glaskugeln sind nicht mehr.

Warum die attachments nicht hochgeladen wurde, entzieht sich meiner
Kenntnis.
Du meinst wirklich attachments und nicht grafiken

Damit die Fakten klar sind. Es handelt sich um einen SBS 2003 (die
Bezeichnung nicht r2 hat Microsoft wohl bei der Produkteinführung
verabsäumt).
Nein. Es steht halt nur nicht auf dem Bildschirm.

Gepatcht kann durchaus ein Hinweis, falls man sich Schadcode
über eine Sicherheitslücke eingeschleust hat.
Da du aber explizit relay als problem nennst, hilft kein patch

Von einer Vermutung war nie eine Rede. Eher mehr von relay.
Also kannst du einen interne Absender 100% ausschliessen

Port 25 sperren bei einem Mailserver wird wohl den inbound betreffen,
Beide richtungen können gesperrt werden.

Von der exchange-Einstellung sind alle Möglichkeiten für
relays abgedreht.
Dann hättest du kein relay problem.

Gerade den Widerspruch im Protokoll sehe ich als
diskussionswürdig an.
Wer soll sich hier kilometerlange Protokolle ansehen und für dich auswerten wenn du zwar deinen Domainnamen entfernst (richtig so) aber die unzutreffenden Formatierung lässt?

Inzwischen habe ich eine Fehlfunktion der Firewall entdeckt, die mit
Reaktivierung derselben behoben sein dürfte.
Was hat das mit relay zu tun?
Läuft bei dir evtl. der ISA 2004?

Hier noch ein hilfe:
http://spamlinks.net/prevent-secure-relay-test.htm#web

habe mal auf einen Mailserver deine angabe http://www.rbl.jp/svcheck.php losgelassen.


3 mal accepted. Das ist in Ordnung. Empfänger ist in der internen Domain, aber unbekannt. Wird eh nicht angenommen.

Da wirft sich eine Frage auf. hast du den Open Relay test von INNERHALB deiner Domäne gemacht?

Peter
Bitte warten ..
Mitglied: bunfried
07.09.2009 um 14:26 Uhr
Läuft bei dir evtl. der ISA 2004?

Nein.

Hier noch ein hilfe:
http://spamlinks.net/prevent-secure-relay-test.htm#web

habe mal auf einen Mailserver deine angabe
http://www.rbl.jp/svcheck.php losgelassen.

Hab´s bei anderen exchange 2003 (sbs 2003r2) und 2007 Servern getestet und kein einziges Mal accepted gesehen.

Da wirft sich eine Frage auf. hast du den Open Relay test von
INNERHALB deiner Domäne gemacht?
Naja, innerhalb dürfte ich mich über relay nicht wundern. -> natürlich nicht.

Ich hab einen Artikel gelesen, daß eine ZyWall 5 ähnliches Verhalten hervorgerufen hat. Ich hab dort eine USG 100 im Einsatz.....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
Exchange 2003 auf 2007 Implace Migration (18)

Frage von Herbrich19 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2003 von Windows 2003 Server lösen bzw. entfernen (3)

Frage von plexxus zum Thema Exchange Server ...

Exchange Server
Office 2013 oder 2016 mit Exchange 2003 (2)

Frage von uridium69 zum Thema Exchange Server ...

Exchange Server
Exchange 2003 für Experimente noch nutzbar? (14)

Frage von pelzfrucht zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...