Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS2003 Spamversand

Frage Microsoft Exchange Server

Mitglied: optimist2003

optimist2003 (Level 1) - Jetzt verbinden

26.03.2013 um 19:01 Uhr, 1450 Aufrufe, 4 Kommentare

Da ich nicht gerade ein Spezialist in Sachen Exchange bin wende ich mich an euch.

Wir betreiben einen SBS2003 bzw. deren Exchangefunktion.
Es gibt nun seit kurzen ein Problem mit dem Postausgang.
Wir versenden Spam. In den letzten Tagen in riesen Mengen so dass ich die Warteschalnge anhalten musste.

Der Versand erfolgt über den SMTP Connector bzw. dann weiter über unseren Hoster.

Es gibt also in der Konfiguration einen SMTP Connector und unter Protokolle/SMTP ein Virtuellen SMTP Server.

Ein offenes Relay haben wir nicht. Zumindest haben das diverse Tests ergeben.
Also vermute ich also einen Schädling am Server.

Nun würde ich um ein paar Tips bitten wie ich diesem auf die Spur kommen kann.

Hier ein Logauszug:

Wie könnte ich diese IP 197.255.168.119 sperren?

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2013-03-26 17:24:49
#Fields: c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-host cs(User-Agent) cs(Cookie)
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.debauche@aol.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturner903@comcast.net> 250 0 42 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cameron@comcast.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sheehan1@bellsouth.net> 250 0 43 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarlight@yahoo.com> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1246@hotmail.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick7c7@yahoo.com> 250 0 33 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturnerd@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cklau@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarrlight@yahoo.com> 250 0 41 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1302@yahoo.com> 250 0 34 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick82jr@aol.com> 250 0 32 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.m.vogt@gmail.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.deloney@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sherry@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_clntn@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciatusing@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastaub@verizon.net> 250 0 38 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick15120@verizon.net> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick843@aol.com> 250 0 31 - - -

Mitglied: GuentherH
26.03.2013 um 20:59 Uhr
Hallo.

Vermutlich wurde einer eurer Accounts gehackt. Ändere alle Passwörter der angelegten Benutzer.
Sperre in den SMTP Einstellungen (Releaying) die Einstellung, dass authorisierte User Mails versenden können.

LG Günther
Bitte warten ..
Mitglied: Pjordorf
27.03.2013 um 01:44 Uhr
Hallo, auch an dich optimist2003,

Zitat von optimist2003:
Also vermute ich also einen Schädling am Server.
Denn kann man aber entfernen falls es wirklich einer sein sollte, oder?

Wie könnte ich diese IP 197.255.168.119 sperren?
Dann kann es kein Schädling auf deinen SBS sein, ausser dein SBS hat diese IP! wenn nict, dann kommt er von Aussen. Und diese IPs ändern sich schneller als du die sperren könntest. Da du aber nichts zu einem DSL Router / Modem / Firewall / ISA / UTM sagst, können wir dir nicht sagen wie du diese IP bei dir einfach sperren kannst.

197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
Definitiv ein Anmeldung von Aussen.
Zum hinwies von @GuentherH noch, schaue ins sicherheitsprotkoll. Dort wirst du vor diesem Zeitraum auf fehlgeschlagene Anmeldungen stosen und evtl. sogar das dann erfolgreich angemeldete Konto von euch (bei dem das Passwort per Brute Force oder schädling oder Social Engineering oder ablesen der Haftnotizen...) genutzt wird.

Gruß (auch an dich unbekannterweise),
Peter
Bitte warten ..
Mitglied: optimist2003
22.05.2013 um 07:59 Uhr
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.

Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".

Wieder was dazu gelernt.
Bitte warten ..
Mitglied: goscho
22.05.2013 um 09:28 Uhr
Moin
Zitat von optimist2003:
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.
Gut das der Fehler gefunden wurde.
Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".
Wenn dafür ein User benötigt wird, so würde ich einen weiteren erstellen, der scannen darf und dem keine Anmeldung über OWA/OMA erlaubt wird.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Migration SBS2003 auf Srv2012R2 hängt? (6)

Frage von ArnoNymous zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...