Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2003 Exchange Spamproblematik. Schätze ich das Problem richtig ein?

Frage Microsoft Exchange Server

Mitglied: valkosh

valkosh (Level 1) - Jetzt verbinden

03.12.2012, aktualisiert 14:26 Uhr, 2025 Aufrufe, 4 Kommentare

Ich bin neu hier, deshalb zuerst Hallo an alle!

Der Server wurde von mir Hardwaremässig abgelöst, da die alte Hardware ca. 6-7 Jährig war.
SBS2003 wurde in eine VMWare ESXi 5.1 Umgebung konvertiert. Bis auf das Exchange-Problem läuft alles laut Eventlogs OK.
Sorry für den langen Post, ich versuche möglichst viele Infos zu geben!

Primär geht es mir darum, ob ich die aktuell auftretende Problematik des Spamversands richtig einschätze.

Wenn ich das SMTP-Log einschalte, hat das TXT-File nach ca. 10 Minuten über 2 MB!! (Untenstehend ein Auszug!)

Eine Hardwarefirewall ist nicht vorhanden!

Blacklist Test keine Eintragung zu der IP-Adresse. (Daher gehe ich davon aus, dass kein aktiver Spamversand läuft)

Virencheck des Systems ergab keine Funde

Portcheck auf die Standardports zeigt, dass Port 25 offen ist nach aussen

Manuelle Überprüfung des Servers sieht soweit gut aus. Das einzige was ich gefunden hatte, ist eine Umgebungsvariable,
welche wie folgt aussieht. Der Pfad war nicht mehr vorhanden. Könnte evtl. von der Installation des SBS2003 sein?!
Isuser C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{A1908631-3FF4-4DDE-BBBC-86A1715D0A44}\{BCE9F441-9027-4911-82E0-5FB28057897D}\_isuser.dll Domain\Administrator


Ich gehe eher davon aus, dass irgend ein Client die Spams versucht zu verschicken. Leider hatte ich noch nicht die Möglichkeit, alle Clients zu überprüfen!

Da ich nicht so der Exchange-Spezialist bin, gibt es noch andere Möglichkeiten zu testen, ob Spam raus geht?



Sonstige Infos:
00.
Microsoft(R) Windows(R) Server 2003 für Small Business Server
Version 5.2.3790 Service Pack 2 Build 3790
Alle Updates sind soweit installiert!
00.

Open-Relay Test @ http://www.rbl.jp:
01.
Relay test 19

RSET
250 2.0.0 Resetting
MAIL FROM: <rlychk@localhost>
250 2.1.0 rlychk@localhost....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
550 5.7.1 Unable to relay for rlytest@h.rbl.jp
relay NOT accepted!!
Closing connection ...

QUIT
221 2.0.0 *mail.domain.ch* Service closing transmission channel
Relay test result

All tests performed, no relays accepted.
01.

SMTP-Logfile Snippet:
02.
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2012-12-03 09:52:14
#Fields: date time c-ip cs-username cs-method cs-uri-query sc-status sc-bytes cs-bytes
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpywzililyqmn@gmail.com> 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RCPT TO:<kraling67189@gmail.com> 0 4 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionCommand RCPT TO:<kqwoh581@gmail.com> 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RCPT TO:<kreiner46674@gmail.com> 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RCPT TO:<kruemel2812@gmail.com> 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand DATA - 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 354++Go+ahead+c2si12274704obd.143 0 33 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 550-5.7.1+[*IP DES SERVERS*1]+Our+system+has+detected+an+unusual+rate+of 0 74 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpyybililyrok@gmail.com> 0 4 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionResponse - 220+mx.google.com+ESMTP+m6si7244313iga.58 0 41 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionCommand EHLO *mail.domain.ch* 0 4 0
02.

EventID MSEXCHANGE:
03.
Für den Empfänger rfc822;kurz@cdufraktion.de (Nachrichten-ID <BRDC001RH3ALZ9fhzgA000002a5@*mail.domain.ch*>) wurde ein Unzustellbarkeitsbericht mit dem Statuscode '5.1.8' erzeugt.
03.

04.
220 *mail.domain.ch* Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Mon, 3 Dec 2012 12:18:45 +0100
EHLO
500 5.3.3 Unrecognized command
EHLO
250-*mail.domain.ch* Hello [*IP*]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
MAIL TO:test@domain.ch
250 2.1.0 test@domain.ch....Sender OK
RCPT TO:admin@masternet.ch
Verbindung wird getrennt!
04.

676e0753025d0d37cecac02671353c21 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Ravers
03.12.2012 um 14:08 Uhr
Moin,

kenne den SBS2003 nicht wirklich. Aber auch der wird einen Warteschlangenmonitor haben, kannst du da nix erkennen?
Die IP-Adressen kommen von Google (gmail).

greetz
ravers
Bitte warten ..
Mitglied: valkosh
03.12.2012 um 14:28 Uhr
Hi Ravers,

Habe den Warteschlangenmonitor mal als Bild eingefügt. Hat wohl ziemlich viele Verbindungsversuche.

Gruss
Valksoh
Bitte warten ..
Mitglied: ackerdiesel
03.12.2012 um 16:10 Uhr
Hallo,

ist das vielleicht ein offener Relay ? Mal testen:

http://mxtoolbox.com/

Gruß
ackerdiesel
Bitte warten ..
Mitglied: Ravers
03.12.2012 um 16:23 Uhr
Moin,

sieht ja mal alles nicht so i.O. aus
Würde nun erstmal alle Nachrichten entfernen und mal sniffen, wer sich da alles am Server meldet und ggf. so den "Schädling" ausfindig machen.
Offenes Relay natürlich testen - denke das könnte es wirklich sein.
Wer hat den Server aufgesetzt? Was wurde in dem Zuge alles geändert, gerade Firewalleinstellungen und natürlich Exchangeeinstellungen (auch wenn ich vermute das sich bei letzteren nix getan hat).

greetz
ravers
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Exchange Server
Exchange 2013 - ActiveSync-Problem bei einem Benutzer (3)

Frage von mario87 zum Thema Exchange Server ...

Exchange Server
Problem mit POP3-Abruf eines Exchange-2013-Postfachs

Frage von YotYot zum Thema Exchange Server ...

Exchange Server
Exchange 2010 Problem (6)

Frage von Peacer zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...