Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2003 Exchange Spamproblematik. Schätze ich das Problem richtig ein?

Frage Microsoft Exchange Server

Mitglied: valkosh

valkosh (Level 1) - Jetzt verbinden

03.12.2012, aktualisiert 14:26 Uhr, 2032 Aufrufe, 4 Kommentare

Ich bin neu hier, deshalb zuerst Hallo an alle!

Der Server wurde von mir Hardwaremässig abgelöst, da die alte Hardware ca. 6-7 Jährig war.
SBS2003 wurde in eine VMWare ESXi 5.1 Umgebung konvertiert. Bis auf das Exchange-Problem läuft alles laut Eventlogs OK.
Sorry für den langen Post, ich versuche möglichst viele Infos zu geben!

Primär geht es mir darum, ob ich die aktuell auftretende Problematik des Spamversands richtig einschätze.

Wenn ich das SMTP-Log einschalte, hat das TXT-File nach ca. 10 Minuten über 2 MB!! (Untenstehend ein Auszug!)

Eine Hardwarefirewall ist nicht vorhanden!

Blacklist Test keine Eintragung zu der IP-Adresse. (Daher gehe ich davon aus, dass kein aktiver Spamversand läuft)

Virencheck des Systems ergab keine Funde

Portcheck auf die Standardports zeigt, dass Port 25 offen ist nach aussen

Manuelle Überprüfung des Servers sieht soweit gut aus. Das einzige was ich gefunden hatte, ist eine Umgebungsvariable,
welche wie folgt aussieht. Der Pfad war nicht mehr vorhanden. Könnte evtl. von der Installation des SBS2003 sein?!
Isuser C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{A1908631-3FF4-4DDE-BBBC-86A1715D0A44}\{BCE9F441-9027-4911-82E0-5FB28057897D}\_isuser.dll Domain\Administrator


Ich gehe eher davon aus, dass irgend ein Client die Spams versucht zu verschicken. Leider hatte ich noch nicht die Möglichkeit, alle Clients zu überprüfen!

Da ich nicht so der Exchange-Spezialist bin, gibt es noch andere Möglichkeiten zu testen, ob Spam raus geht?



Sonstige Infos:
00.
Microsoft(R) Windows(R) Server 2003 für Small Business Server
Version 5.2.3790 Service Pack 2 Build 3790
Alle Updates sind soweit installiert!
00.

Open-Relay Test @ http://www.rbl.jp:
01.
Relay test 19

RSET
250 2.0.0 Resetting
MAIL FROM: <rlychk@localhost>
250 2.1.0 rlychk@localhost....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
550 5.7.1 Unable to relay for rlytest@h.rbl.jp
relay NOT accepted!!
Closing connection ...

QUIT
221 2.0.0 *mail.domain.ch* Service closing transmission channel
Relay test result

All tests performed, no relays accepted.
01.

SMTP-Logfile Snippet:
02.
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2012-12-03 09:52:14
#Fields: date time c-ip cs-username cs-method cs-uri-query sc-status sc-bytes cs-bytes
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpywzililyqmn@gmail.com> 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RCPT TO:<kraling67189@gmail.com> 0 4 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionCommand RCPT TO:<kqwoh581@gmail.com> 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RCPT TO:<kreiner46674@gmail.com> 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RCPT TO:<kruemel2812@gmail.com> 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand DATA - 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 354++Go+ahead+c2si12274704obd.143 0 33 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 550-5.7.1+[*IP DES SERVERS*1]+Our+system+has+detected+an+unusual+rate+of 0 74 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpyybililyrok@gmail.com> 0 4 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionResponse - 220+mx.google.com+ESMTP+m6si7244313iga.58 0 41 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionCommand EHLO *mail.domain.ch* 0 4 0
02.

EventID MSEXCHANGE:
03.
Für den Empfänger rfc822;kurz@cdufraktion.de (Nachrichten-ID <BRDC001RH3ALZ9fhzgA000002a5@*mail.domain.ch*>) wurde ein Unzustellbarkeitsbericht mit dem Statuscode '5.1.8' erzeugt.
03.

04.
220 *mail.domain.ch* Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Mon, 3 Dec 2012 12:18:45 +0100
EHLO
500 5.3.3 Unrecognized command
EHLO
250-*mail.domain.ch* Hello [*IP*]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
MAIL TO:test@domain.ch
250 2.1.0 test@domain.ch....Sender OK
RCPT TO:admin@masternet.ch
Verbindung wird getrennt!
04.

676e0753025d0d37cecac02671353c21 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Ravers
03.12.2012 um 14:08 Uhr
Moin,

kenne den SBS2003 nicht wirklich. Aber auch der wird einen Warteschlangenmonitor haben, kannst du da nix erkennen?
Die IP-Adressen kommen von Google (gmail).

greetz
ravers
Bitte warten ..
Mitglied: valkosh
03.12.2012 um 14:28 Uhr
Hi Ravers,

Habe den Warteschlangenmonitor mal als Bild eingefügt. Hat wohl ziemlich viele Verbindungsversuche.

Gruss
Valksoh
Bitte warten ..
Mitglied: ackerdiesel
03.12.2012 um 16:10 Uhr
Hallo,

ist das vielleicht ein offener Relay ? Mal testen:

http://mxtoolbox.com/

Gruß
ackerdiesel
Bitte warten ..
Mitglied: Ravers
03.12.2012 um 16:23 Uhr
Moin,

sieht ja mal alles nicht so i.O. aus
Würde nun erstmal alle Nachrichten entfernen und mal sniffen, wer sich da alles am Server meldet und ggf. so den "Schädling" ausfindig machen.
Offenes Relay natürlich testen - denke das könnte es wirklich sein.
Wer hat den Server aufgesetzt? Was wurde in dem Zuge alles geändert, gerade Firewalleinstellungen und natürlich Exchangeeinstellungen (auch wenn ich vermute das sich bei letzteren nix getan hat).

greetz
ravers
Bitte warten ..
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2013 Outlook 2013 Autodiscover Mailbox Problem (GUID) (4)

Frage von Systembastler zum Thema Exchange Server ...

Exchange Server
gelöst MS Exchange-Problem: Servername und Name im Zertifikat stimmen nicht überein (1)

Frage von KLeinstein.tm zum Thema Exchange Server ...

Exchange Server
Problem mit Exchange 2010 und Cache Modus (1)

Frage von Leo-le zum Thema Exchange Server ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(2)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Systemdateien
Warum System auf "C:" (29)

Frage von DzumoPRO zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (16)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Cloud-Dienste
gelöst Bitcoins minen über Nacht? (16)

Frage von 1410640014 zum Thema Cloud-Dienste ...