Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2003 Exchange Spamproblematik. Schätze ich das Problem richtig ein?

Frage Microsoft Exchange Server

Mitglied: valkosh

valkosh (Level 1) - Jetzt verbinden

03.12.2012, aktualisiert 14:26 Uhr, 2047 Aufrufe, 4 Kommentare

Ich bin neu hier, deshalb zuerst Hallo an alle!

Der Server wurde von mir Hardwaremässig abgelöst, da die alte Hardware ca. 6-7 Jährig war.
SBS2003 wurde in eine VMWare ESXi 5.1 Umgebung konvertiert. Bis auf das Exchange-Problem läuft alles laut Eventlogs OK.
Sorry für den langen Post, ich versuche möglichst viele Infos zu geben!

Primär geht es mir darum, ob ich die aktuell auftretende Problematik des Spamversands richtig einschätze.

Wenn ich das SMTP-Log einschalte, hat das TXT-File nach ca. 10 Minuten über 2 MB!! (Untenstehend ein Auszug!)

Eine Hardwarefirewall ist nicht vorhanden!

Blacklist Test keine Eintragung zu der IP-Adresse. (Daher gehe ich davon aus, dass kein aktiver Spamversand läuft)

Virencheck des Systems ergab keine Funde

Portcheck auf die Standardports zeigt, dass Port 25 offen ist nach aussen

Manuelle Überprüfung des Servers sieht soweit gut aus. Das einzige was ich gefunden hatte, ist eine Umgebungsvariable,
welche wie folgt aussieht. Der Pfad war nicht mehr vorhanden. Könnte evtl. von der Installation des SBS2003 sein?!
Isuser C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{A1908631-3FF4-4DDE-BBBC-86A1715D0A44}\{BCE9F441-9027-4911-82E0-5FB28057897D}\_isuser.dll Domain\Administrator


Ich gehe eher davon aus, dass irgend ein Client die Spams versucht zu verschicken. Leider hatte ich noch nicht die Möglichkeit, alle Clients zu überprüfen!

Da ich nicht so der Exchange-Spezialist bin, gibt es noch andere Möglichkeiten zu testen, ob Spam raus geht?



Sonstige Infos:
00.
Microsoft(R) Windows(R) Server 2003 für Small Business Server
Version 5.2.3790 Service Pack 2 Build 3790
Alle Updates sind soweit installiert!
00.

Open-Relay Test @ http://www.rbl.jp:
01.
Relay test 19

RSET
250 2.0.0 Resetting
MAIL FROM: <rlychk@localhost>
250 2.1.0 rlychk@localhost....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
550 5.7.1 Unable to relay for rlytest@h.rbl.jp
relay NOT accepted!!
Closing connection ...

QUIT
221 2.0.0 *mail.domain.ch* Service closing transmission channel
Relay test result

All tests performed, no relays accepted.
01.

SMTP-Logfile Snippet:
02.
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2012-12-03 09:52:14
#Fields: date time c-ip cs-username cs-method cs-uri-query sc-status sc-bytes cs-bytes
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpywzililyqmn@gmail.com> 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RCPT TO:<kraling67189@gmail.com> 0 4 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionCommand RCPT TO:<kqwoh581@gmail.com> 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RCPT TO:<kreiner46674@gmail.com> 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RCPT TO:<kruemel2812@gmail.com> 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand DATA - 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 354++Go+ahead+c2si12274704obd.143 0 33 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 550-5.7.1+[*IP DES SERVERS*1]+Our+system+has+detected+an+unusual+rate+of 0 74 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpyybililyrok@gmail.com> 0 4 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionResponse - 220+mx.google.com+ESMTP+m6si7244313iga.58 0 41 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionCommand EHLO *mail.domain.ch* 0 4 0
02.

EventID MSEXCHANGE:
03.
Für den Empfänger rfc822;kurz@cdufraktion.de (Nachrichten-ID <BRDC001RH3ALZ9fhzgA000002a5@*mail.domain.ch*>) wurde ein Unzustellbarkeitsbericht mit dem Statuscode '5.1.8' erzeugt.
03.

04.
220 *mail.domain.ch* Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Mon, 3 Dec 2012 12:18:45 +0100
EHLO
500 5.3.3 Unrecognized command
EHLO
250-*mail.domain.ch* Hello [*IP*]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
MAIL TO:test@domain.ch
250 2.1.0 test@domain.ch....Sender OK
RCPT TO:admin@masternet.ch
Verbindung wird getrennt!
04.

676e0753025d0d37cecac02671353c21 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Ravers
03.12.2012 um 14:08 Uhr
Moin,

kenne den SBS2003 nicht wirklich. Aber auch der wird einen Warteschlangenmonitor haben, kannst du da nix erkennen?
Die IP-Adressen kommen von Google (gmail).

greetz
ravers
Bitte warten ..
Mitglied: valkosh
03.12.2012 um 14:28 Uhr
Hi Ravers,

Habe den Warteschlangenmonitor mal als Bild eingefügt. Hat wohl ziemlich viele Verbindungsversuche.

Gruss
Valksoh
Bitte warten ..
Mitglied: ackerdiesel
03.12.2012 um 16:10 Uhr
Hallo,

ist das vielleicht ein offener Relay ? Mal testen:

http://mxtoolbox.com/

Gruß
ackerdiesel
Bitte warten ..
Mitglied: Ravers
03.12.2012 um 16:23 Uhr
Moin,

sieht ja mal alles nicht so i.O. aus
Würde nun erstmal alle Nachrichten entfernen und mal sniffen, wer sich da alles am Server meldet und ggf. so den "Schädling" ausfindig machen.
Offenes Relay natürlich testen - denke das könnte es wirklich sein.
Wer hat den Server aufgesetzt? Was wurde in dem Zuge alles geändert, gerade Firewalleinstellungen und natürlich Exchangeeinstellungen (auch wenn ich vermute das sich bei letzteren nix getan hat).

greetz
ravers
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Exchange unified Messaging richtiges Gateway (6)

Frage von BiGnoob zum Thema Netzwerke ...

Exchange Server
Exchange 2010 Problem (6)

Frage von Peacer zum Thema Exchange Server ...

Exchange Server
Exchange 2016 Problem - ungelesen gelöscht (2)

Frage von mixmastertobsi zum Thema Exchange Server ...

Exchange Server
Problem mit Exchange 2010 und Cache Modus (1)

Frage von Leo-le zum Thema Exchange Server ...

Neue Wissensbeiträge
Viren und Trojaner

Link: Neues Botnetz über IoT-Geräte

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Externe IP von innen erreichbar machen (15)

Frage von Windows10Gegner zum Thema Router & Routing ...

Windows Installation
Windows 10 neu installieren (11)

Frage von imebro zum Thema Windows Installation ...

Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...