Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS2003 Spamversand

Frage Microsoft Exchange Server

Mitglied: optimist2003

optimist2003 (Level 1) - Jetzt verbinden

26.03.2013 um 19:01 Uhr, 1472 Aufrufe, 4 Kommentare

Da ich nicht gerade ein Spezialist in Sachen Exchange bin wende ich mich an euch.

Wir betreiben einen SBS2003 bzw. deren Exchangefunktion.
Es gibt nun seit kurzen ein Problem mit dem Postausgang.
Wir versenden Spam. In den letzten Tagen in riesen Mengen so dass ich die Warteschalnge anhalten musste.

Der Versand erfolgt über den SMTP Connector bzw. dann weiter über unseren Hoster.

Es gibt also in der Konfiguration einen SMTP Connector und unter Protokolle/SMTP ein Virtuellen SMTP Server.

Ein offenes Relay haben wir nicht. Zumindest haben das diverse Tests ergeben.
Also vermute ich also einen Schädling am Server.

Nun würde ich um ein paar Tips bitten wie ich diesem auf die Spur kommen kann.

Hier ein Logauszug:

Wie könnte ich diese IP 197.255.168.119 sperren?

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2013-03-26 17:24:49
#Fields: c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-host cs(User-Agent) cs(Cookie)
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.debauche@aol.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturner903@comcast.net> 250 0 42 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cameron@comcast.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sheehan1@bellsouth.net> 250 0 43 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarlight@yahoo.com> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1246@hotmail.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick7c7@yahoo.com> 250 0 33 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturnerd@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cklau@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarrlight@yahoo.com> 250 0 41 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1302@yahoo.com> 250 0 34 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick82jr@aol.com> 250 0 32 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.m.vogt@gmail.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.deloney@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sherry@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_clntn@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciatusing@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastaub@verizon.net> 250 0 38 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick15120@verizon.net> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick843@aol.com> 250 0 31 - - -

Mitglied: GuentherH
26.03.2013 um 20:59 Uhr
Hallo.

Vermutlich wurde einer eurer Accounts gehackt. Ändere alle Passwörter der angelegten Benutzer.
Sperre in den SMTP Einstellungen (Releaying) die Einstellung, dass authorisierte User Mails versenden können.

LG Günther
Bitte warten ..
Mitglied: Pjordorf
27.03.2013 um 01:44 Uhr
Hallo, auch an dich optimist2003,

Zitat von optimist2003:
Also vermute ich also einen Schädling am Server.
Denn kann man aber entfernen falls es wirklich einer sein sollte, oder?

Wie könnte ich diese IP 197.255.168.119 sperren?
Dann kann es kein Schädling auf deinen SBS sein, ausser dein SBS hat diese IP! wenn nict, dann kommt er von Aussen. Und diese IPs ändern sich schneller als du die sperren könntest. Da du aber nichts zu einem DSL Router / Modem / Firewall / ISA / UTM sagst, können wir dir nicht sagen wie du diese IP bei dir einfach sperren kannst.

197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
Definitiv ein Anmeldung von Aussen.
Zum hinwies von @GuentherH noch, schaue ins sicherheitsprotkoll. Dort wirst du vor diesem Zeitraum auf fehlgeschlagene Anmeldungen stosen und evtl. sogar das dann erfolgreich angemeldete Konto von euch (bei dem das Passwort per Brute Force oder schädling oder Social Engineering oder ablesen der Haftnotizen...) genutzt wird.

Gruß (auch an dich unbekannterweise),
Peter
Bitte warten ..
Mitglied: optimist2003
22.05.2013 um 07:59 Uhr
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.

Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".

Wieder was dazu gelernt.
Bitte warten ..
Mitglied: goscho
22.05.2013 um 09:28 Uhr
Moin
Zitat von optimist2003:
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.
Gut das der Fehler gefunden wurde.
Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".
Wenn dafür ein User benötigt wird, so würde ich einen weiteren erstellen, der scannen darf und dem keine Anmeldung über OWA/OMA erlaubt wird.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Migration SBS2003 auf Srv2012R2 hängt? (6)

Frage von ArnoNymous zum Thema Windows Server ...

Windows Server
Suche ISO SBS 2003 Standard für Deinstallation (9)

Frage von unikat zum Thema Windows Server ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Infineon TPMs unsicher!

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Firewall

PfSense Repository für Version 2.3.x

(3)

Information von Dobby zum Thema Firewall ...

LAN, WAN, Wireless

WPA-2 hat erste Risse: KRACK

(6)

Information von the-buccaneer zum Thema LAN, WAN, Wireless ...

Hardware

GPD Pocket: Winziger Laptop für Wenig Tipper

(1)

Information von pelzfrucht zum Thema Hardware ...

Heiß diskutierte Inhalte
Windows Server
gelöst Gruppenrichtlinie greift nicht zu! (23)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (20)

Frage von sunics zum Thema Hosting & Housing ...

Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (18)

Frage von KINGCELLO zum Thema Microsoft Office ...