14
Relayeinschränkung Exchange 2003
Hallo zusammen,
einer unserer Kunden versendet momentan 2000 Spammails die Stunde über ihren Exchangeserver. Es wird nicht über dem Kunden seine Domain verschickt sondern über andere.
Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen. Wenn ich da jetzt die Domäne des Kunden einstellen würde, was passiert dann mit den Mails die blockiert werden? Diese werden ja trotzdem erzeugt.
Landen die dann in der SMTP Connector Warteschlange oder werden die gelöscht?
Vielen Dank im Voraus.
PS: Ich weiß ich muss die Rechner noch überprüfen wo die Spammails herkommen.
einer unserer Kunden versendet momentan 2000 Spammails die Stunde über ihren Exchangeserver. Es wird nicht über dem Kunden seine Domain verschickt sondern über andere.
Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen. Wenn ich da jetzt die Domäne des Kunden einstellen würde, was passiert dann mit den Mails die blockiert werden? Diese werden ja trotzdem erzeugt.
Landen die dann in der SMTP Connector Warteschlange oder werden die gelöscht?
Vielen Dank im Voraus.
PS: Ich weiß ich muss die Rechner noch überprüfen wo die Spammails herkommen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274406
Url: https://administrator.de/contentid/274406
Printed on: April 16, 2024 at 10:04 o'clock
14 Comments
Latest comment
Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen. Wenn ich da jetzt die
Domäne des Kunden einstellen würde, was passiert dann mit den Mails die blockiert werden? Diese werden ja trotzdem
erzeugt.
Landen die dann in der SMTP Connector Warteschlange oder werden die gelöscht?
Der Server sollte dann die Annahme der Mails komplett verweigern.Domäne des Kunden einstellen würde, was passiert dann mit den Mails die blockiert werden? Diese werden ja trotzdem
erzeugt.
Landen die dann in der SMTP Connector Warteschlange oder werden die gelöscht?
E.
Aber wo sind die dann? Irgendein Client erzeugt diese Mails ja. Werden die dann nach der verweigerung gelöscht oder landen die irgendwo im Cache oder Temp Ordner?
Moin,
wenn die Mail tats. von einem internen Client per SMTP oder womöglich gleich per MAPI am Exchange abgeliefert werden, hast du keine Chance das Relaying zu verhindern, da der Client ja eigentlich berechtigt ist Mails an extern zu versenden!
Bei der Gelegenheit dann gleich mal das AV- und/oder UTM-Konzept überdenken.
lg,
Slainte
einer unserer Kunden ...
*seufz*wenn die Mail tats. von einem internen Client per SMTP oder womöglich gleich per MAPI am Exchange abgeliefert werden, hast du keine Chance das Relaying zu verhindern, da der Client ja eigentlich berechtigt ist Mails an extern zu versenden!
PS: Ich weiß ich muss die Rechner noch überprüfen wo die Spammails herkommen.
Sofort vom Netz trennen, format c: und neu installieren - sonst wirst du den/die Bot(s) nicht los.Bei der Gelegenheit dann gleich mal das AV- und/oder UTM-Konzept überdenken.
lg,
Slainte
*seufz*
Dito!Sofort vom Netz trennen, format c:
Gute Idee ....und neu installieren
... das wäre verzichtbar, weil:Exchange 2003
LG, Thomas
Exchange 2003
psscht 
Um herauszubekommen, wer das sendet, reicht es, den Exch vom Internet zu trennen. Dann laufen alle Mails in der Warteschlange auf und man kann sich dorrt die Absenderadresse ansehen. Wenn das eine der internen Adressen ist, dann geht das höchstwahrscheinlich über Outlook, MAPI. Wenn das irgendeine zufälig generierte ist, dann kommen die Mails höchstwahrscheinlich über SMTP rein.
Wenn der SMTP das Relay der die Mails verweigert, dann landen dies auch in keiner Warteschlange. Die Annahme wird komplett verweigert.
E.
Wenn der SMTP das Relay der die Mails verweigert, dann landen dies auch in keiner Warteschlange. Die Annahme wird komplett verweigert.
E.
Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen
Warum muss der Exchange überhaupt als Relay arbeiten?
Sperre einfach am Exchange das Relaying. Die Clients versenden ja sowieso über MAPI, benötigen also SMTP nicht.
Sperre ausgehend Port 25 für das gesamte Netz bis auf den Exchange.
Wenn dann noch immer SPAM versendet wird, dann ist bereits der Exchange selbst befallen, ansonst sollte sich der/die befallenen Clients einfach finden lassen.
LG Günther
Warum muss der Exchange überhaupt als Relay arbeiten?
Bei uns im Haus z.B. für Scan-To-Mail.Bei uns im Haus z.B. für Scan-To-Mail.
Das ist schon klar. Dann wird aber auch im zuständigen Connector eingetragen, dass nur dieses Geräte darüber versenden darf. Zusätzlich kann in den meisten Fällen der Connector so konfiguriert werden, dass ein Versand nach extern nicht möglich ist.
LG Günther
richtig
Zitat von @emeriks:
> Warum muss der Exchange überhaupt als Relay arbeiten?
Bei uns im Haus z.B. für Scan-To-Mail.
> Warum muss der Exchange überhaupt als Relay arbeiten?
Bei uns im Haus z.B. für Scan-To-Mail.
Oder für div. andere Dienste. Aber dann auch nur dediziert für diese. Hier ist das Problem der Einsatz des falschen Dienstleisters. Sonst wäre der Ex 2003 bereits weg vom Fenster.
Die Absenderadressen sind aber von extern. Die Absenderadressen haben nicht mit der eigentlichen domain zu tun.
Die Absenderadressen sind aber von extern. Die Absenderadressen haben nicht mit der eigentlichen domain zu tun.
Das ist auch fürs relaying am Exchange vollkommen wurst. Entscheidend ist a) wohin (domain) die Mail geht und b) woher (IP) die Mail kommt.Pausiere die Ausgehende SMTP Queue am Exchange, wenn da dann Mails SPAMs auflaufen kannst du dir ansehen von welchem Client(s) die kommen entsprechend handeln. Falls keine SPAM Mails in der Qeue erscheinen hat der Exchange mit dem Mailversand nichts zu tun und du musst am Router/der Firewall ansetzen.
Problem ist behoben.
Ich habe die Domänenbeschränkung auf die Domäne des Kunden eingestellt. Und es kamen keine Spammails mehr.
Haben dann mal mit Wireshark geschaut wo alles her kam. Es hat sich herausgestellt, das es ein Server aus Nigeria war der sich direkt mit dem SMTP-Connector verbunden hat.
Ich habe die Domänenbeschränkung auf die Domäne des Kunden eingestellt. Und es kamen keine Spammails mehr.
Haben dann mal mit Wireshark geschaut wo alles her kam. Es hat sich herausgestellt, das es ein Server aus Nigeria war der sich direkt mit dem SMTP-Connector verbunden hat.