Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS2003 Spamversand

Frage Microsoft Exchange Server

Mitglied: optimist2003

optimist2003 (Level 1) - Jetzt verbinden

26.03.2013 um 19:01 Uhr, 1478 Aufrufe, 4 Kommentare

Da ich nicht gerade ein Spezialist in Sachen Exchange bin wende ich mich an euch.

Wir betreiben einen SBS2003 bzw. deren Exchangefunktion.
Es gibt nun seit kurzen ein Problem mit dem Postausgang.
Wir versenden Spam. In den letzten Tagen in riesen Mengen so dass ich die Warteschalnge anhalten musste.

Der Versand erfolgt über den SMTP Connector bzw. dann weiter über unseren Hoster.

Es gibt also in der Konfiguration einen SMTP Connector und unter Protokolle/SMTP ein Virtuellen SMTP Server.

Ein offenes Relay haben wir nicht. Zumindest haben das diverse Tests ergeben.
Also vermute ich also einen Schädling am Server.

Nun würde ich um ein paar Tips bitten wie ich diesem auf die Spur kommen kann.

Hier ein Logauszug:

Wie könnte ich diese IP 197.255.168.119 sperren?

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2013-03-26 17:24:49
#Fields: c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-host cs(User-Agent) cs(Cookie)
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.debauche@aol.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturner903@comcast.net> 250 0 42 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cameron@comcast.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sheehan1@bellsouth.net> 250 0 43 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarlight@yahoo.com> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1246@hotmail.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick7c7@yahoo.com> 250 0 33 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturnerd@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cklau@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarrlight@yahoo.com> 250 0 41 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1302@yahoo.com> 250 0 34 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick82jr@aol.com> 250 0 32 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.m.vogt@gmail.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.deloney@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sherry@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_clntn@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciatusing@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastaub@verizon.net> 250 0 38 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick15120@verizon.net> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick843@aol.com> 250 0 31 - - -

Mitglied: GuentherH
26.03.2013 um 20:59 Uhr
Hallo.

Vermutlich wurde einer eurer Accounts gehackt. Ändere alle Passwörter der angelegten Benutzer.
Sperre in den SMTP Einstellungen (Releaying) die Einstellung, dass authorisierte User Mails versenden können.

LG Günther
Bitte warten ..
Mitglied: Pjordorf
27.03.2013 um 01:44 Uhr
Hallo, auch an dich optimist2003,

Zitat von optimist2003:
Also vermute ich also einen Schädling am Server.
Denn kann man aber entfernen falls es wirklich einer sein sollte, oder?

Wie könnte ich diese IP 197.255.168.119 sperren?
Dann kann es kein Schädling auf deinen SBS sein, ausser dein SBS hat diese IP! wenn nict, dann kommt er von Aussen. Und diese IPs ändern sich schneller als du die sperren könntest. Da du aber nichts zu einem DSL Router / Modem / Firewall / ISA / UTM sagst, können wir dir nicht sagen wie du diese IP bei dir einfach sperren kannst.

197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
Definitiv ein Anmeldung von Aussen.
Zum hinwies von @GuentherH noch, schaue ins sicherheitsprotkoll. Dort wirst du vor diesem Zeitraum auf fehlgeschlagene Anmeldungen stosen und evtl. sogar das dann erfolgreich angemeldete Konto von euch (bei dem das Passwort per Brute Force oder schädling oder Social Engineering oder ablesen der Haftnotizen...) genutzt wird.

Gruß (auch an dich unbekannterweise),
Peter
Bitte warten ..
Mitglied: optimist2003
22.05.2013 um 07:59 Uhr
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.

Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".

Wieder was dazu gelernt.
Bitte warten ..
Mitglied: goscho
22.05.2013 um 09:28 Uhr
Moin
Zitat von optimist2003:
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.
Gut das der Fehler gefunden wurde.
Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".
Wenn dafür ein User benötigt wird, so würde ich einen weiteren erstellen, der scannen darf und dem keine Anmeldung über OWA/OMA erlaubt wird.
Bitte warten ..
Ähnliche Inhalte
E-Mail
Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann
Anleitung von LordGurkeE-Mail10 Kommentare

Wieso steht da unsere Domain im Absender? Das kann doch nicht sein! Die Absenderadresse einer E-Mail kann man genau ...

Windows Server
SBS2003 Migrationsfehler
Frage von japicoWindows Server4 Kommentare

Hallo Gemeinde, bin gerade dabei einen Betagten SBS2003 zu SBS2011 zu Migrieren. Leider bekomme ich folgende Fehlermeldung nicht in ...

Exchange Server
SBS2003 abschalten und gegen Server2012R2 ersetzen
gelöst Frage von takvorianExchange Server6 Kommentare

Hallo zusammen, habe einen 10 Jahre alten SBS2003 noch rumstehen der ersetzt werden muss. Der Exchange wird dort überhaupt ...

Windows Server
Server SBS2003 R2 - NTVDM
gelöst Frage von EMail4YouWindows Server8 Kommentare

hallo ll, Ich sitze nun hier vor einem Problem, das ich so noch nie hatte. Seit heute zeigt mir ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 2 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit7 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...