Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2003 - wird als Spambot missbraucht - offene Relays

Frage Microsoft Exchange Server

Mitglied: medien-rs

medien-rs (Level 1) - Jetzt verbinden

07.09.2011 um 17:35 Uhr, 5945 Aufrufe, 14 Kommentare

Mein SBS 2003 wird als Spam-versender missbraucht. Ich habe laut Relay Checker offene Relays.
Die Exchange Einstellungen sind so konfiguriert, dass nur angemeldete User Mails ver senden können.

Hallo!

Ich habe eine schreiben von der Telekom bekommen, in dem steht, dass unser Mailserver (Exchange 2003) zum versendne von Spam missbraucht wird.
Ich habe alles gecheckt, die Exchange EInstellungen sind so, dass nur angemeldete User mails versenden können.

Ich habe gelesen, das der Grund offene Relays sein können.
Wenn ich einen Rlay Checker nehme, werden mir auch offene Relasys angezeigt
Doch wie schliesse ich diese?



Kann mir jemand helfen? Die Telekom will uns sonst den Saft abdrehen...











Den Header, den ich von der Telekom bekommen habe sieht wie folgt aus:


in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung : 3
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM


IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 25 Aug 2011 19:58:33 -0000, entspricht deutscher Zeit: 25.08.2011, 21:58:33 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php

Date: Fri, 26 Aug 2011 07:15:06 +0200
From: Trendmicro <abuse>
Message-ID: <a7e4999e5afc2e8ec5e9c3a5b34ec99agenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 25 Aug 2011 19:58:33 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Message-Id: <201108260352.p7Q3qcf6022233SJDC-ERS3-1ctstrendmicro>
Date: Fri, 26 Aug 2011 03:52:34 +0000
To: abuse
From: poyuan_teng
Subject: [20110826] AS3320 Daily Report

777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 22 Aug 2011 20:43:48 -0000, entspricht deutscher Zeit: 22.08.2011, 22:43:48 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Tue, 23 Aug 2011 07:05:43 +0200
From: Trendmicro <abuse>
Message-ID: <37979897f22bef81049e32bbddefebadgenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 22 Aug 2011 20:43:48 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Message-Id: <201108230352.p7N3qvBt041849SJDC-ERS3-1ctstrendmicro>
Date: Tue, 23 Aug 2011 03:52:54 +0000
To: abuse
From: poyuan_teng
Subject: [20110823] AS3320 Daily Report

7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 20 Aug 2011 16:51:39 -0000, entspricht deutscher Zeit: 20.08.2011, 18:51:39 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Sun, 21 Aug 2011 19:31:49 +0200
From: Trendmicro <abuse>
Message-ID: <397040259bda717d47a3d8b4c43e644egenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 20 Aug 2011 16:51:39 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Liste aus 56756435
Mitglied: Lochkartenstanzer
07.09.2011 um 18:03 Uhr
Im einfschaten Fall:

Im Exhange einstellen, daß er nur Mails für die eigene Domain annimmt.
Bitte warten ..
Mitglied: medien-rs
07.09.2011 um 18:26 Uhr
Kannst du da etwas genauer sein? Wo, wie, - Menupunkt.....

Dann teste ich das aus.

Ich bin leider Exchange-noob, der alte Admin musste die Firma verlassen......
Bitte warten ..
Mitglied: HubertN
07.09.2011 um 18:34 Uhr
Moin

Der Exchange 2003 ist eigentlich von Haus aus gegen unbefugtes Relay geschützt. Zuerst einmal solltest du testen, ob dein Server überhaupt ein offenes Relay ist. z.B. http://www.abuse.net/relay.html

Der Hinweis mit den Einstellungen im Exchange ist schon korrekt, aber was ist, wenn du dir einen netten kleinen "Mitbewohner" eingefangen hast, der deinen Server auf diesem Wege nutzt ?

Ansonsten hier weiterlesen: http://www.msxfaq.de/internet/relay2000.htm

Gruß

Hubert
Bitte warten ..
Mitglied: medien-rs
07.09.2011 um 19:01 Uhr
beim link kam (wie erwartet) folgendes raus:

Mail relay testing
This host was recently tested with an anonymous test.

The host appeared to accept a test message for relay.

Jetzt muss ich nur wissen wie man die schliesst........ Alle Google Anleitungen habe ich befolgt
Auch die msxfaq habe ich bereits gelesen und es war so eingestellt...

Symantec Endpoint protection findet nichts.
Ich habe auch eine Netgear Hardware Firewall vorgeschaltet - hilft die irgendwie?

DANKE FÜR EURE HILFE!!!!!!!!!
Bitte warten ..
Mitglied: StefanKittel
07.09.2011 um 19:32 Uhr
Hallo,

Außerdem kann es natürlich sein, dass ein PC aus dem Netzwerk befallen ist und Spam entweder direkt oder über den Exchange verschickt.
Auch ist es möglich, dass ein Außenstehender über eine Sicherheitslücke (z.B. wegen fehlender Updates) direkten Zugriff auf den Server hat oder ein Benutzername und Kennwort verwendet für seinen Spam (z.B. in einem öffentlichen WLAN abgefangen).

Google mal nach der Nachrichtenverfolgung des Exchange.
Dann kannst Du sehen welche Email dieser empfängt und verschickt und warum/von wem.

Stefan
Bitte warten ..
Mitglied: HubertN
07.09.2011 um 19:32 Uhr
arbeite noch einmal diesen Artikel ab: http://support.microsoft.com/kb/324958/de

Und ansonsten kann ich dir nur den Rat geben, dir schnell (!!!) kompetente Hilfe ins Haus zu holen.

Es dauert nicht lange und dein Server ist bei allen möglichen Anbietern auf der Blacklist und schon hast du ein weiteres nicht zu unterschätzendes Problem...

Gruß

p.s. die Frage, ob eine Firewall vor Relaymissbrauch schützen kann sagt mir, dass dir doch ein wenig das Grundlagenwissen fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt keine Mails mehr empfangen.
Bitte warten ..
Mitglied: tonabnehmer
07.09.2011 um 19:41 Uhr
Hi,

ich möchte Dir nicht zu nahe treten, aber eine geschäftskritische Anwendung wie E-Mail bzw. Exchange sollte von jemandem administriert werden, der Ahnung hat. Das gilt besonders, wenn Euer falsch konfigurierter Exchange Server anderen schadet, indem er Spams sendet. Wenn das Wissen im Unternehmen fehlt, könnt Ihr die Administration durch Dienstleister durchführen lassen.

Zum eigentlichen Thema: Die Telekom Header helfen hier nicht weiter. Da steh ja auch klar und deutlich drin: "Es sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden." Viel interessanter wäre das Ergebnis des Relay Tests. Vermutlich musst Du im Exchange einfach konfigurieren, dass er nur Mails für Eure interne Domain annimmt und nicht für externe Domains.

Grüße,
tonabnehmer
Bitte warten ..
Mitglied: medien-rs
07.09.2011 um 19:49 Uhr
Denke mal das hier doch ein Trojaner o.ä. im Spiel ist, da wie gestagt eigtl. kein externer Mails versenden kann.
Und wie oben gepostet der Relay test war nicht i.o.

Daher ja die Frage wie ich offene Relays schliesse - die windows kb und die msxfaq habe ich schon vor den postings durchgearbeitet - keine Änderungen.
Genau genommen war der Exchange genau wie dort angegeben konfiguriert.

Wenn ich im Exchange in den Protokollen nachsehe sehe ich auch keine Mails, die nach aussen gehen (ausser gewollte)

Ich schalte jetzt erst mal den SMTP nach aussen ab, Dann wird schonmal nichtsmehr versendet.


P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die Tendenz?

P.P.S. Wo genau im Exchange kann ich sehen, welche Nachrichten verschickt wurden. Alle die ich finde (Smtp Protokoll) sind unauffällig - da sind nur Nachrichten von unseren Usern drin, und die Liste ist momentan - da Urlaub - recht übersichtlich....
Bitte warten ..
Mitglied: Lochkartenstanzer
07.09.2011 um 20:30 Uhr
Zitat von HubertN:
fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt
keine Mails mehr empfangen.

So nicht korrekt:

Eine Firewall kann sehr wohl gegen smtp-Mißbrauch schützen. Dazu darf sie den Port aber nicht einfach weiterreichen, sondern muß entweder als smtp-proxy (mit filtern) agieren oder gleich als smtp-gateway. Ob Die Netgear des TO das kann, weiß ich nicht.

An den TO:

Schnellstens jemanden suchen, der sich damit auskennt. Ich persönlich lasse einen exchange (und auch andere Mailserver) nie direkt selbst ans Netz, sondern immer über ein smtp-gatway, der spam und malware abfängt und auch gegen relaying schützt.
Bitte warten ..
Mitglied: Lochkartenstanzer
07.09.2011 um 20:38 Uhr
Wenn Du die Frage direkt in google eingibst, findest Du sehr viele passende Antworten. Gleich die ersten Treffer, z.B. bei petri.it oder techrepublic sollten Dich weiterführen.
Bitte warten ..
Mitglied: mrtux
07.09.2011 um 21:18 Uhr
Hi !

Zitat von medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?

Im Zweifel gilt immer Murphys Gesetz! Alle Rechner und Server mit einer (oder mehreren) Live CDs oder Rescue Systemen prüfen, notfalls säubern oder komplett neu aufsetzen.

Wenn Du keine Erfahrung mit der Malwareentfernung hast, dann (wie lks schon schrieb) einen erfahrenen externen Anbieter ins Haus holen. Malware ist heute oftmals schlitzohrig, man denkt sie ist weg und wird dabei böse verarscht....

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
07.09.2011 um 21:38 Uhr
Zitat von medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.

ein offenes relay spricht eher für den Server, denn dorthin wird doch wohl smtp weitergeforardet. Oder ist es die netgear, die eventuell einen falsch konfigurierten smtp-proxy hat? -> schau mal von "außen" mit
 telnet servername 25 
, wer antowrtet.

Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?

Sofern man herausfidne will, ob etwas befallen ist, sind live-CDs mit Antivirenprogrammen das Mittel der Wahl. (knoppicilin, rescue-CDs der AV-hersteller, BartPE/WinPE, usw.) Alelrdings ist das langwierig und bestätigt ggf nur, daß man sich etwas eingefangen hat. Wenn die nichts finden, heißt das nicht unbedingt, daß die Kisten sauber sind.

"Säubern" ist eh mit Vorsicht zu genießen. Bei wichtigen Daten ist neu Aufsetzen das Mittel der Wahl.
Bitte warten ..
Mitglied: dog
08.09.2011 um 00:23 Uhr
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen

Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.

Zum Thema Open Relay:

Diese Tests sind meistens nicht zuverlässig, weil sie nicht prüfen ob eine Mail auch wirklich ankommt.
Mein Mailserver sieht z.B. auch wie ein Open Relay aus, weil er alle Mails scheinbar annimmt, aber dann im Hintergrund einfach verwirft.

So einen Test kann man aber auch ganz leicht selber machen, wenn man sich mit dem Exchange von zuhause verbindet und eine Mail an irgendeine Freemailer-Adresse schickt:

http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#Protokoll
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2011 um 01:06 Uhr
Zitat von dog:
Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.

Ich würde sogar noch weitergehen und noch ein smtp-gateway in die DMZ packen. Der Exchange ist dann der einzige der mit dem gateway mails austauschen darf und das gateway der einzige der SMTP mit der außenwelt reden darf. Ist zwar aufwendiger, dafür aber ein deutlicher Gewinn an Sicherheit. Beim lokalen Mailserver pfuschen i.d.R. zuviele Leute rum und es gibt zuviele Stellschrauben, die die Gefahr einer Fehlkonfiguration bergen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

Exchange Server
gelöst SBS 2003 und Multisendcon: Mailversand an t-online Adressen funktioniert nicht (11)

Frage von danieluk15 zum Thema Exchange Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...