9
SBS2011 versucht infizierte Mail zu versenden
Hallo zusammen,
mein Problem ist, dass unser SBS2011 ca. alle 8 Minuten versucht eine infizierte Mail zu versenden. Geblockt wird dieser Mailversand vom G Data AV Client, der auf diesem installiert ist, verwaltet vom G Data Management Server auf einem anderen Server. Ich bekomme jetzt haufenweise Alarmierungen vom Management Server und ich weiß nicht, wo ich suchen soll.
Das steht im Management Server Bericht:
[Status] [Client] [Datum/Uhrzeit] [Melder] [Virus] [Benutzer] [Datei/Mail/Inhalt]
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
..
..
... u.s.w.
Wie gesagt, alle paar Minuten kommt ein neuer Eintrag hinzu.
Unter den Spalten "Melder, Virus, Benutzer, Datei" steht nichts. Auch Datum/Uhrzeit der Meldung sind immer die gleiche.
Die Alarmierungsmail des AV Management Servers, die ins Admin-Postfach geschickt wird, sieht so aus:
Host: SBS2011
Benutzer:
Datum: 04.02.2014 17:35:05
Mail: \Betreff: Preparing For Tomorrow's Major Market Moves Today With Peter C. Advisor/Broker 949-302-9652 or 323-498-5160; Absender: lrrjzbhnanw@daysmedical.com; Empfänger: bestellservice@unseredomain.de\
Infektion:
Status: Versuch, eine infizierte Mail zu verschicken
In der Exchange Warteschlange ist nichts zu sehen.
Hat jemand eine Idee, wo ich den Versender suchen soll? Kann es ein infizierter Client im Netzwerk sein, oder ein Virus auf dem Server?
Bin euch für jeden Tipp dankbar!
Gruß, DQ
mein Problem ist, dass unser SBS2011 ca. alle 8 Minuten versucht eine infizierte Mail zu versenden. Geblockt wird dieser Mailversand vom G Data AV Client, der auf diesem installiert ist, verwaltet vom G Data Management Server auf einem anderen Server. Ich bekomme jetzt haufenweise Alarmierungen vom Management Server und ich weiß nicht, wo ich suchen soll.
Das steht im Management Server Bericht:
[Status] [Client] [Datum/Uhrzeit] [Melder] [Virus] [Benutzer] [Datei/Mail/Inhalt]
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
..
..
... u.s.w.
Wie gesagt, alle paar Minuten kommt ein neuer Eintrag hinzu.
Unter den Spalten "Melder, Virus, Benutzer, Datei" steht nichts. Auch Datum/Uhrzeit der Meldung sind immer die gleiche.
Die Alarmierungsmail des AV Management Servers, die ins Admin-Postfach geschickt wird, sieht so aus:
Host: SBS2011
Benutzer:
Datum: 04.02.2014 17:35:05
Mail: \Betreff: Preparing For Tomorrow's Major Market Moves Today With Peter C. Advisor/Broker 949-302-9652 or 323-498-5160; Absender: lrrjzbhnanw@daysmedical.com; Empfänger: bestellservice@unseredomain.de\
Infektion:
Status: Versuch, eine infizierte Mail zu verschicken
In der Exchange Warteschlange ist nichts zu sehen.
Hat jemand eine Idee, wo ich den Versender suchen soll? Kann es ein infizierter Client im Netzwerk sein, oder ein Virus auf dem Server?
Bin euch für jeden Tipp dankbar!
Gruß, DQ
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 228944
Url: https://administrator.de/contentid/228944
Printed on: April 16, 2024 at 20:04 o'clock
9 Comments
Latest comment
Hallo,
was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst? Dies kannst du über die Berichte machen, Rechtsklick auf das Ereignis und dann auswählen.
Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?
Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja, diese eventuell sperren (FW oder Receiveconnector). Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Gruß
@d4shoerncheN
was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst? Dies kannst du über die Berichte machen, Rechtsklick auf das Ereignis und dann auswählen.
Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?
Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja, diese eventuell sperren (FW oder Receiveconnector). Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Gruß
@d4shoerncheN
Absender: lrrjzbhnanw@daysmedical.com
LG, Thomas
Bin euch für jeden Tipp dankbar!
Ich fürchte fast, die Frage ist auch noch ernst gemeint?LG, Thomas
1
Sorry, ich meinte nicht den Absender. Unglückliche Wortwahl. Meinte die versendende Software, sprich Virus oder was da auch immer als versendende Komponente in Frage kommen könnte.
Gruß, DQ
Gruß, DQ
Hallo,
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Eventuell mal E-Mail Kontakt zum GData aufnehmen, die reagieren schnell.
Gruß
@d4shoerncheN
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Eventuell mal E-Mail Kontakt zum GData aufnehmen, die reagieren schnell.
Gruß
@d4shoerncheN
Hast Du mal überlegt, ob d4shoernchen nicht auf dem richten Weg ist?
Ich kenne jetzt den Scanner nicht, aber der sollte doch eine Option haben, die angemeckerte Mail aus der queue zu isolieren oder gleich zu löschen?? Gibt Gdata keine Handbücher für seine Software raus???
LG, Thomas
Ich kenne jetzt den Scanner nicht, aber der sollte doch eine Option haben, die angemeckerte Mail aus der queue zu isolieren oder gleich zu löschen?? Gibt Gdata keine Handbücher für seine Software raus???
LG, Thomas
Hallo,
Wenn er in der Management-Konsole auf den Reiter "Berichte" klickt, kann man dort per Rechtsklick auf das Ereignis (z. B. Virenfund) auswählen was er tun soll - Quarantäne, löschen, etc.
Gruß
@d4shoerncheN
Gibt Gdata keine Handbücher für seine Software raus???
ich habe die Software momentan gerade in einer Testphase und bin eigentlich sehr zufrieden damit.Wenn er in der Management-Konsole auf den Reiter "Berichte" klickt, kann man dort per Rechtsklick auf das Ereignis (z. B. Virenfund) auswählen was er tun soll - Quarantäne, löschen, etc.
Gruß
@d4shoerncheN
@d4shoerncheN
Datei entfernen ist ausgegraut, nicht wählbar.
POPcon (Servolutions) holt die Mails via POP3 (SSL) beim Provider aus einem Sammelpostfach ab und gibt diese zur Verteilung an den Exchange weiter. Ist auf dem SBS installiert. Hab auch schon versuchsweise den POPcon Dienst auf dem SBS beendet. Die Meldungen vom G Data liefen aber trotzdem weiter. Schließe somit den Weg über den Empfangsconnector aus.
Nein. Aktiviere ich aber gleich.
Ist mit schon ein wenig unangenehm... wo finde ich den SMTP Log? Bin kein Exchange Überflieger ...
Werde ich versuchen, wenn ich nicht weiterkomme.
Danke schon mal!
Gruß, DQ
was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst?
Datei entfernen ist ausgegraut, nicht wählbar.
Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb
bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb
bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
POPcon (Servolutions) holt die Mails via POP3 (SSL) beim Provider aus einem Sammelpostfach ab und gibt diese zur Verteilung an den Exchange weiter. Ist auf dem SBS installiert. Hab auch schon versuchsweise den POPcon Dienst auf dem SBS beendet. Die Meldungen vom G Data liefen aber trotzdem weiter. Schließe somit den Weg über den Empfangsconnector aus.
Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?
Nein. Aktiviere ich aber gleich.
Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja,
diese eventuell sperren (FW oder Receiveconnector).
diese eventuell sperren (FW oder Receiveconnector).
Ist mit schon ein wenig unangenehm... wo finde ich den SMTP Log? Bin kein Exchange Überflieger ...
Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.
Werde ich versuchen, wenn ich nicht weiterkomme.
Danke schon mal!
Gruß, DQ
Hallo,
da Gdata die Mail die Du über POP abholst erkennt und Blockst, wird die auf der Gegenseite auch nicht gelöscht, als noch zu übertragen gehandelt und schlägt immer wieder bei Dir auf.
Du musst in das Postfach auf dem Server von dem Du per POP abholst, dann dort die Mail löschen oder in einer VM analysieren.
Kann natürlich ein Falspositiv sein.
Gruß
Chonta
da Gdata die Mail die Du über POP abholst erkennt und Blockst, wird die auf der Gegenseite auch nicht gelöscht, als noch zu übertragen gehandelt und schlägt immer wieder bei Dir auf.
Du musst in das Postfach auf dem Server von dem Du per POP abholst, dann dort die Mail löschen oder in einer VM analysieren.
Kann natürlich ein Falspositiv sein.
Gruß
Chonta
1
Hallo Chonta,
habe alle Mails im Sammelpostfach beim Provider gelöscht. Auch die nicht zugestellten Mails aus dem Ordner "Badmail" von meiner Connectorsoftware POPcon, welche die Mails beim Provider abholt und an den Exchange weiterreicht, habe ich gelöscht. Von da kommt also auch nix.
Habe jetzt das Loggen im Exchange aktiviert und mir die Logs SmtpReceive und SmtpSend unter "C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog" angeguckt, finde aber nix auffälliges.
Und die Meldungen gehen munter weiter.
Was zum Geier versucht immer wieder diese Mail abzusetzen, so das GData ständig anschlägt? Wie krieg ich das raus?
Gruß, DQ
habe alle Mails im Sammelpostfach beim Provider gelöscht. Auch die nicht zugestellten Mails aus dem Ordner "Badmail" von meiner Connectorsoftware POPcon, welche die Mails beim Provider abholt und an den Exchange weiterreicht, habe ich gelöscht. Von da kommt also auch nix.
Habe jetzt das Loggen im Exchange aktiviert und mir die Logs SmtpReceive und SmtpSend unter "C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog" angeguckt, finde aber nix auffälliges.
Und die Meldungen gehen munter weiter.
Was zum Geier versucht immer wieder diese Mail abzusetzen, so das GData ständig anschlägt? Wie krieg ich das raus?
Gruß, DQ
