Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Exchange Server

SBS2003 Exchange Spamproblematik. Schätze ich das Problem richtig ein?

Mitglied: valkosh

valkosh (Level 1) - Jetzt verbinden

03.12.2012, aktualisiert 14:26 Uhr, 2058 Aufrufe, 4 Kommentare

Ich bin neu hier, deshalb zuerst Hallo an alle!

Der Server wurde von mir Hardwaremässig abgelöst, da die alte Hardware ca. 6-7 Jährig war.
SBS2003 wurde in eine VMWare ESXi 5.1 Umgebung konvertiert. Bis auf das Exchange-Problem läuft alles laut Eventlogs OK.
Sorry für den langen Post, ich versuche möglichst viele Infos zu geben!

Primär geht es mir darum, ob ich die aktuell auftretende Problematik des Spamversands richtig einschätze.

Wenn ich das SMTP-Log einschalte, hat das TXT-File nach ca. 10 Minuten über 2 MB!! (Untenstehend ein Auszug!)

Eine Hardwarefirewall ist nicht vorhanden!

Blacklist Test keine Eintragung zu der IP-Adresse. (Daher gehe ich davon aus, dass kein aktiver Spamversand läuft)

Virencheck des Systems ergab keine Funde

Portcheck auf die Standardports zeigt, dass Port 25 offen ist nach aussen

Manuelle Überprüfung des Servers sieht soweit gut aus. Das einzige was ich gefunden hatte, ist eine Umgebungsvariable,
welche wie folgt aussieht. Der Pfad war nicht mehr vorhanden. Könnte evtl. von der Installation des SBS2003 sein?!
Isuser C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{A1908631-3FF4-4DDE-BBBC-86A1715D0A44}\{BCE9F441-9027-4911-82E0-5FB28057897D}\_isuser.dll Domain\Administrator


Ich gehe eher davon aus, dass irgend ein Client die Spams versucht zu verschicken. Leider hatte ich noch nicht die Möglichkeit, alle Clients zu überprüfen!

Da ich nicht so der Exchange-Spezialist bin, gibt es noch andere Möglichkeiten zu testen, ob Spam raus geht?



Sonstige Infos:
00.
Microsoft(R) Windows(R) Server 2003 für Small Business Server
Version 5.2.3790 Service Pack 2 Build 3790
Alle Updates sind soweit installiert!
00.

Open-Relay Test @ http://www.rbl.jp:
01.
Relay test 19

RSET
250 2.0.0 Resetting
MAIL FROM: <rlychk@localhost>
250 2.1.0 rlychk@localhost....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
550 5.7.1 Unable to relay for rlytest@h.rbl.jp
relay NOT accepted!!
Closing connection ...

QUIT
221 2.0.0 *mail.domain.ch* Service closing transmission channel
Relay test result

All tests performed, no relays accepted.
01.

SMTP-Logfile Snippet:
02.
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2012-12-03 09:52:14
#Fields: date time c-ip cs-username cs-method cs-uri-query sc-status sc-bytes cs-bytes
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpywzililyqmn@gmail.com> 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RCPT TO:<kraling67189@gmail.com> 0 4 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionCommand RCPT TO:<kqwoh581@gmail.com> 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RCPT TO:<kreiner46674@gmail.com> 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RCPT TO:<kruemel2812@gmail.com> 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand DATA - 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 354++Go+ahead+c2si12274704obd.143 0 33 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 550-5.7.1+[*IP DES SERVERS*1]+Our+system+has+detected+an+unusual+rate+of 0 74 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpyybililyrok@gmail.com> 0 4 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionResponse - 220+mx.google.com+ESMTP+m6si7244313iga.58 0 41 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionCommand EHLO *mail.domain.ch* 0 4 0
02.

EventID MSEXCHANGE:
03.
Für den Empfänger rfc822;kurz@cdufraktion.de (Nachrichten-ID <BRDC001RH3ALZ9fhzgA000002a5@*mail.domain.ch*>) wurde ein Unzustellbarkeitsbericht mit dem Statuscode '5.1.8' erzeugt.
03.

04.
220 *mail.domain.ch* Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Mon, 3 Dec 2012 12:18:45 +0100
EHLO
500 5.3.3 Unrecognized command
EHLO
250-*mail.domain.ch* Hello [*IP*]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
MAIL TO:test@domain.ch
250 2.1.0 test@domain.ch....Sender OK
RCPT TO:admin@masternet.ch
Verbindung wird getrennt!
04.

676e0753025d0d37cecac02671353c21 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Ravers
03.12.2012 um 14:08 Uhr
Moin,

kenne den SBS2003 nicht wirklich. Aber auch der wird einen Warteschlangenmonitor haben, kannst du da nix erkennen?
Die IP-Adressen kommen von Google (gmail).

greetz
ravers
Bitte warten ..
Mitglied: valkosh
03.12.2012 um 14:28 Uhr
Hi Ravers,

Habe den Warteschlangenmonitor mal als Bild eingefügt. Hat wohl ziemlich viele Verbindungsversuche.

Gruss
Valksoh
Bitte warten ..
Mitglied: ackerdiesel
03.12.2012 um 16:10 Uhr
Hallo,

ist das vielleicht ein offener Relay ? Mal testen:

http://mxtoolbox.com/

Gruß
ackerdiesel
Bitte warten ..
Mitglied: Ravers
03.12.2012 um 16:23 Uhr
Moin,

sieht ja mal alles nicht so i.O. aus
Würde nun erstmal alle Nachrichten entfernen und mal sniffen, wer sich da alles am Server meldet und ggf. so den "Schädling" ausfindig machen.
Offenes Relay natürlich testen - denke das könnte es wirklich sein.
Wer hat den Server aufgesetzt? Was wurde in dem Zuge alles geändert, gerade Firewalleinstellungen und natürlich Exchangeeinstellungen (auch wenn ich vermute das sich bei letzteren nix getan hat).

greetz
ravers
Bitte warten ..
Ähnliche Inhalte
Exchange Server
TLS Update bei SBS2003 Exchange
Frage von MickiExchange Server2 Kommentare

Gibt es die Möglichkeit bei einem Exchangeserver von SBS2003 die TLS Version auf 1.2 upzudaten?

Firewall
Exchange-Server - richtige Firewall
Frage von yozora27Firewall23 Kommentare

Hallo! Ich soll im Büro meines Vaters ein Netzwerk aufbauen. Das Ganze eilt nicht und ist vom Umfang her ...

Exchange Server
Exchange Buildnumbers - Was ist jetzt richtig?!
gelöst Frage von Philipp711Exchange Server1 Kommentar

Hi Leute, bin gerade ein wenig Verwundert über die Darstellung der Exchange-Build-Version. Ich bereite unseren Exchange2010 auf ein Upgrade ...

Windows Server
Migrationspfad SBS2003 mit Exchange nach W2K12R2 mit Exchange 2016
gelöst Frage von slemkeWindows Server7 Kommentare

Hallo zusammen, ich plane gerade eine Migration eines SBS2003, auf dem auch Exchange genutzt wird auf einen W2K12R2 und ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 4 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen10 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk9 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...