Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2003 Exchange Spamproblematik. Schätze ich das Problem richtig ein?

Frage Microsoft Exchange Server

Mitglied: valkosh

valkosh (Level 1) - Jetzt verbinden

03.12.2012, aktualisiert 14:26 Uhr, 2039 Aufrufe, 4 Kommentare

Ich bin neu hier, deshalb zuerst Hallo an alle!

Der Server wurde von mir Hardwaremässig abgelöst, da die alte Hardware ca. 6-7 Jährig war.
SBS2003 wurde in eine VMWare ESXi 5.1 Umgebung konvertiert. Bis auf das Exchange-Problem läuft alles laut Eventlogs OK.
Sorry für den langen Post, ich versuche möglichst viele Infos zu geben!

Primär geht es mir darum, ob ich die aktuell auftretende Problematik des Spamversands richtig einschätze.

Wenn ich das SMTP-Log einschalte, hat das TXT-File nach ca. 10 Minuten über 2 MB!! (Untenstehend ein Auszug!)

Eine Hardwarefirewall ist nicht vorhanden!

Blacklist Test keine Eintragung zu der IP-Adresse. (Daher gehe ich davon aus, dass kein aktiver Spamversand läuft)

Virencheck des Systems ergab keine Funde

Portcheck auf die Standardports zeigt, dass Port 25 offen ist nach aussen

Manuelle Überprüfung des Servers sieht soweit gut aus. Das einzige was ich gefunden hatte, ist eine Umgebungsvariable,
welche wie folgt aussieht. Der Pfad war nicht mehr vorhanden. Könnte evtl. von der Installation des SBS2003 sein?!
Isuser C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{A1908631-3FF4-4DDE-BBBC-86A1715D0A44}\{BCE9F441-9027-4911-82E0-5FB28057897D}\_isuser.dll Domain\Administrator


Ich gehe eher davon aus, dass irgend ein Client die Spams versucht zu verschicken. Leider hatte ich noch nicht die Möglichkeit, alle Clients zu überprüfen!

Da ich nicht so der Exchange-Spezialist bin, gibt es noch andere Möglichkeiten zu testen, ob Spam raus geht?



Sonstige Infos:
00.
Microsoft(R) Windows(R) Server 2003 für Small Business Server
Version 5.2.3790 Service Pack 2 Build 3790
Alle Updates sind soweit installiert!
00.

Open-Relay Test @ http://www.rbl.jp:
01.
Relay test 19

RSET
250 2.0.0 Resetting
MAIL FROM: <rlychk@localhost>
250 2.1.0 rlychk@localhost....Sender OK
RCPT TO: <rlytest@h.rbl.jp>
550 5.7.1 Unable to relay for rlytest@h.rbl.jp
relay NOT accepted!!
Closing connection ...

QUIT
221 2.0.0 *mail.domain.ch* Service closing transmission channel
Relay test result

All tests performed, no relays accepted.
01.

SMTP-Logfile Snippet:
02.
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2012-12-03 09:52:14
#Fields: date time c-ip cs-username cs-method cs-uri-query sc-status sc-bytes cs-bytes
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpywzililyqmn@gmail.com> 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:14 173.194.64.26 OutboundConnectionCommand RCPT TO:<kraling67189@gmail.com> 0 4 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:16 74.125.141.26 OutboundConnectionCommand RCPT TO:<kqwoh581@gmail.com> 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:17 173.194.64.26 OutboundConnectionCommand RCPT TO:<kreiner46674@gmail.com> 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+Flushed+c2si12274704obd.143 0 37 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand MAIL FROM:<infos@commerzb.de>+SIZE=2794 0 4 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionResponse - 250+2.1.0+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:21 173.194.64.26 OutboundConnectionCommand RCPT TO:<kruemel2812@gmail.com> 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 250+2.1.5+OK+c2si12274704obd.143 0 32 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand DATA - 0 4 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 354++Go+ahead+c2si12274704obd.143 0 33 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionResponse - 550-5.7.1+[*IP DES SERVERS*1]+Our+system+has+detected+an+unusual+rate+of 0 74 0
2012-12-03 09:52:22 173.194.64.26 OutboundConnectionCommand RSET - 0 4 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionResponse - 550-5.1.1+The+email+account+that+you+tried+to+reach+does+not+exist.+Please+try 0 78 0
2012-12-03 09:52:22 74.125.143.26 OutboundConnectionCommand RCPT TO:<kpyybililyrok@gmail.com> 0 4 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionResponse - 220+mx.google.com+ESMTP+m6si7244313iga.58 0 41 0
2012-12-03 09:52:22 74.125.133.26 OutboundConnectionCommand EHLO *mail.domain.ch* 0 4 0
02.

EventID MSEXCHANGE:
03.
Für den Empfänger rfc822;kurz@cdufraktion.de (Nachrichten-ID <BRDC001RH3ALZ9fhzgA000002a5@*mail.domain.ch*>) wurde ein Unzustellbarkeitsbericht mit dem Statuscode '5.1.8' erzeugt.
03.

04.
220 *mail.domain.ch* Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Mon, 3 Dec 2012 12:18:45 +0100
EHLO
500 5.3.3 Unrecognized command
EHLO
250-*mail.domain.ch* Hello [*IP*]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
MAIL TO:test@domain.ch
250 2.1.0 test@domain.ch....Sender OK
RCPT TO:admin@masternet.ch
Verbindung wird getrennt!
04.

676e0753025d0d37cecac02671353c21 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Ravers
03.12.2012 um 14:08 Uhr
Moin,

kenne den SBS2003 nicht wirklich. Aber auch der wird einen Warteschlangenmonitor haben, kannst du da nix erkennen?
Die IP-Adressen kommen von Google (gmail).

greetz
ravers
Bitte warten ..
Mitglied: valkosh
03.12.2012 um 14:28 Uhr
Hi Ravers,

Habe den Warteschlangenmonitor mal als Bild eingefügt. Hat wohl ziemlich viele Verbindungsversuche.

Gruss
Valksoh
Bitte warten ..
Mitglied: ackerdiesel
03.12.2012 um 16:10 Uhr
Hallo,

ist das vielleicht ein offener Relay ? Mal testen:

http://mxtoolbox.com/

Gruß
ackerdiesel
Bitte warten ..
Mitglied: Ravers
03.12.2012 um 16:23 Uhr
Moin,

sieht ja mal alles nicht so i.O. aus
Würde nun erstmal alle Nachrichten entfernen und mal sniffen, wer sich da alles am Server meldet und ggf. so den "Schädling" ausfindig machen.
Offenes Relay natürlich testen - denke das könnte es wirklich sein.
Wer hat den Server aufgesetzt? Was wurde in dem Zuge alles geändert, gerade Firewalleinstellungen und natürlich Exchangeeinstellungen (auch wenn ich vermute das sich bei letzteren nix getan hat).

greetz
ravers
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (10)

Frage von sysbone zum Thema Zusammenarbeit ...