85807
Goto Top

SBS 2003 - Emails gehen nicht raus

Hallo,

Ich habe hier einen SBS 2003 bei dem keine Emails mehr rausgehen.

Habe die befürchtung das ein Virus Spam-Schindluder getrieben hat und mir jetzt der Relay-SMTP das verschicken gesperrt hat.
Emails kommen alle rein.
Virensuche habe ich bereits mehrere durchgeführt, aber nur ein paar kleine Fische gefunden.
Es stellt sich eher die Frage wo genau dieser Spammissbrauch stattgefunden hat und wie ich die Schwachstelle lokalisiere.

Ist es irgendein infizierter PC im Netzwerk oder der Server selbst.
Welches Tool ist am besten Für diese Art von Virensuche geeignet?

Am Server und auf den PCs ist überall GDATA installiert.
Habe zusätzlich am Server jetzt den bekannten Malware laufen lassen!

P.s.:
Hat wer ne Liste parat wo ich kontrollieren kann auf welchen Blacklisten wir drauf sind. Hab sie momentan nicht im Kopf.
Ok hab ne gute Seite gefunden:
http://multirbl.valli.org/

vlg
Chris

Content-Key: 167174

Url: https://administrator.de/contentid/167174

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: GuentherH
GuentherH 30.05.2011 um 13:04:50 Uhr
Goto Top
Hallo.

mir jetzt der Relay-SMTP das verschicken gesperrt hat

Dann würde ich mich beim Betreiber des SMTP-Relay erkundigen.

Welches Tool ist am besten Für diese Art von Virensuche geeignet

Für den Server selbst das SMTP Logging - http://blog.sbspraxis.de/exchange-2003-logging-des-virtuellen-smtp-serv ...

Bei den Clients würde ich erst einmal auf der Firewall Port 25 ausgehend sperren, und im LOG überprüfen ob einer der Clients versucht SPAM zu senden.

LG Günther
Mitglied: 85807
85807 30.05.2011 um 13:07:21 Uhr
Goto Top
Laut dem Relay ist die Server IP bei Baracuda auf der Blackliste. Reicht das wirklich schon aus, damit Emails nicht mehr versendet werden können?

P.s.: Die eingehenden Failed Mail befinden sich ja unter C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\Failed Mail
Wo finde ich nochmal die Nachrichten die noch versendet werden wollen. Eventuelle sind noch unzählige Spammails in der Warteschlange......


Ps:.
Mit http://blog.sbspraxis.de/exchange-2003-nachrichtenverfolgung-message-tr ...
werden mir ca 1000 Spammails von gestern angezeigt. Kann die jedoch von dort aus nicht löschen. Wie kann ich diese Löschen?

Wie es aussieht versucht kein client per SMTP zu verschicken. Lediglich der SBS erscheint im LOG

Malware und GDATA finden nichts mehr, ich befürchte aber das noch immer spam über den smtp verschickt wird!?

Was machen ich nun?

vlg
Chris
Mitglied: GuentherH
GuentherH 30.05.2011 um 13:51:58 Uhr
Goto Top
Hallo.

Reicht das wirklich schon aus, damit Emails nicht mehr versendet werden können

Im Normalfall nicht.

Wo finde ich nochmal die Nachrichten die noch versendet werden wollen

C:\Programme\Exchsrv\Mailroot\vsi 1\Queue

Wenn hier noch die Mails liegen, dann beende die Exchange Dienste und lösche sie hier raus. Mit einem Texteditor kannst du sehr einfach den Inhalt überprüfen und feststellen um welche Art SPAM es sich handelt.

LG Günther
Mitglied: 85807
85807 30.05.2011 um 14:08:44 Uhr
Goto Top
Dort sind ca 50.000 Elemente drin und er schafft es auch nach 5min warten sie mir nicht anzuzeigen.
Den Ordner löschen konnte ich nicht, da anscheinend noch immer ein dienst zugreift. (Der Informationsspeicherdienst ist auch nach 10min nicht heruntergefahren)
Werde mal im abges. Modus hochfahren und es dort löschen.

Also im Ordner befinden sich ca 10000 Mails die mit "NTFS_2cdbcd4304234....." Anfangen

Inhalt ist mir Rätselhaft. Ca 100 Verteileradresse aber kein indiz was für ein Spammer das sein sollte!?


Ok jetzt trudeln langsam alle Mails die ich als test weggeschickt hatte bei mir ein.

Fürs erste scheint es das gewesen zu sein.

Die Frage ob es jetzt ein SPAM-Virus oder ein POP3 Connector Dienstefehler war ist leider noch nicht geklärt.

Aber big thx Günther


vlg
Chris
Mitglied: GuentherH
GuentherH 30.05.2011 um 15:07:21 Uhr
Goto Top
Hallo.

Der Informationsspeicherdienst ist auch nach 10min nicht heruntergefahren

Dann warte bis er sauber heruntergefahren ist.

POP3 Connector Dienstefehler

Welcher POP3 Connector wird eingesetzt?

LG Günther
Mitglied: 85807
85807 30.05.2011 um 16:55:39 Uhr
Goto Top
Der gute alte von Microsoft selbst.
Mitglied: GuentherH
GuentherH 30.05.2011 um 18:54:26 Uhr
Goto Top
Hi.

Der gute alte von Microsoft selbst

Hoffentlich sind ist dann dieses Hotfix installiert - http://www.microsoft.com/downloads/de-de/details.aspx?displaylang=de&am ...

Wenn nein, dann sofort nachholen und dann den Server mit dem BPA überprüfen - http://blog.sbspraxis.de/sbs-2003-best-practices-analyzer-p63/

LG Günther
Mitglied: 85807
85807 30.05.2011 um 21:05:42 Uhr
Goto Top
Ich werds mal gegenprüfen.

Wenn solche KBs Bestandteil von Sicheren/Wichtigen Updates waren oder der BPA einem sowas anzeigen sollte, dann ist es garantiert schon drauf.
Solche Punkte werden bei der monatl. Wartung gemacht.