Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS2011 versucht infizierte Mail zu versenden

Frage Microsoft Exchange Server

Mitglied: DonQuichote

DonQuichote (Level 1) - Jetzt verbinden

06.02.2014 um 15:43 Uhr, 2034 Aufrufe, 9 Kommentare, 2 Danke

Hallo zusammen,

mein Problem ist, dass unser SBS2011 ca. alle 8 Minuten versucht eine infizierte Mail zu versenden. Geblockt wird dieser Mailversand vom G Data AV Client, der auf diesem installiert ist, verwaltet vom G Data Management Server auf einem anderen Server. Ich bekomme jetzt haufenweise Alarmierungen vom Management Server und ich weiß nicht, wo ich suchen soll.

Das steht im Management Server Bericht:

[Status] [Client] [Datum/Uhrzeit] [Melder] [Virus] [Benutzer] [Datei/Mail/Inhalt]

Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
..
..
... u.s.w.


Wie gesagt, alle paar Minuten kommt ein neuer Eintrag hinzu.
Unter den Spalten "Melder, Virus, Benutzer, Datei" steht nichts. Auch Datum/Uhrzeit der Meldung sind immer die gleiche.

Die Alarmierungsmail des AV Management Servers, die ins Admin-Postfach geschickt wird, sieht so aus:

Host: SBS2011
Benutzer:
Datum: 04.02.2014 17:35:05
Mail: \Betreff: Preparing For Tomorrow's Major Market Moves Today With Peter C. Advisor/Broker 949-302-9652 or 323-498-5160; Absender: lrrjzbhnanw@daysmedical.com; Empfänger: bestellservice@unseredomain.de\
Infektion:
Status: Versuch, eine infizierte Mail zu verschicken
In der Exchange Warteschlange ist nichts zu sehen.

Hat jemand eine Idee, wo ich den Versender suchen soll? Kann es ein infizierter Client im Netzwerk sein, oder ein Virus auf dem Server?

Bin euch für jeden Tipp dankbar!

Gruß, DQ


Mitglied: d4shoerncheN
06.02.2014, aktualisiert um 16:14 Uhr
Hallo,

was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst? Dies kannst du über die Berichte machen, Rechtsklick auf das Ereignis und dann auswählen.

Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?

Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?

Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja, diese eventuell sperren (FW oder Receiveconnector). Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.

Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.

Gruß
@d4shoerncheN
Bitte warten ..
Mitglied: keine-ahnung
06.02.2014 um 16:07 Uhr
Zitat von DonQuichote:

Hat jemand eine Idee, wo ich den Versender suchen soll?
Absender: lrrjzbhnanw@daysmedical.com
Bin euch für jeden Tipp dankbar!
Ich fürchte fast, die Frage ist auch noch ernst gemeint?

LG, Thomas
Bitte warten ..
Mitglied: DonQuichote
06.02.2014 um 16:13 Uhr
Sorry, ich meinte nicht den Absender. Unglückliche Wortwahl. Meinte die versendende Software, sprich Virus oder was da auch immer als versendende Komponente in Frage kommen könnte.

Gruß, DQ
Bitte warten ..
Mitglied: d4shoerncheN
06.02.2014 um 16:15 Uhr
Hallo,

Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.

Eventuell mal E-Mail Kontakt zum GData aufnehmen, die reagieren schnell.

Gruß
@d4shoerncheN
Bitte warten ..
Mitglied: keine-ahnung
06.02.2014 um 16:19 Uhr
Hast Du mal überlegt, ob d4shoernchen nicht auf dem richten Weg ist?

Ich kenne jetzt den Scanner nicht, aber der sollte doch eine Option haben, die angemeckerte Mail aus der queue zu isolieren oder gleich zu löschen?? Gibt Gdata keine Handbücher für seine Software raus???

LG, Thomas
Bitte warten ..
Mitglied: d4shoerncheN
06.02.2014 um 16:22 Uhr
Hallo,

Gibt Gdata keine Handbücher für seine Software raus???
ich habe die Software momentan gerade in einer Testphase und bin eigentlich sehr zufrieden damit.

Wenn er in der Management-Konsole auf den Reiter "Berichte" klickt, kann man dort per Rechtsklick auf das Ereignis (z. B. Virenfund) auswählen was er tun soll - Quarantäne, löschen, etc.

Gruß
@d4shoerncheN
Bitte warten ..
Mitglied: DonQuichote
06.02.2014 um 16:28 Uhr
Zitat von d4shoerncheN:

@d4shoerncheN

was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst?

Datei entfernen ist ausgegraut, nicht wählbar.

Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb
bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.

POPcon (Servolutions) holt die Mails via POP3 (SSL) beim Provider aus einem Sammelpostfach ab und gibt diese zur Verteilung an den Exchange weiter. Ist auf dem SBS installiert. Hab auch schon versuchsweise den POPcon Dienst auf dem SBS beendet. Die Meldungen vom G Data liefen aber trotzdem weiter. Schließe somit den Weg über den Empfangsconnector aus.

Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?

Nein. Aktiviere ich aber gleich.

Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja,
diese eventuell sperren (FW oder Receiveconnector).

Ist mit schon ein wenig unangenehm... wo finde ich den SMTP Log? Bin kein Exchange Überflieger ...

Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.

Werde ich versuchen, wenn ich nicht weiterkomme.

Danke schon mal!

Gruß, DQ
Bitte warten ..
Mitglied: Chonta
06.02.2014 um 16:41 Uhr
Hallo,

da Gdata die Mail die Du über POP abholst erkennt und Blockst, wird die auf der Gegenseite auch nicht gelöscht, als noch zu übertragen gehandelt und schlägt immer wieder bei Dir auf.
Du musst in das Postfach auf dem Server von dem Du per POP abholst, dann dort die Mail löschen oder in einer VM analysieren.
Kann natürlich ein Falspositiv sein.

Gruß

Chonta
Bitte warten ..
Mitglied: DonQuichote
07.02.2014 um 12:29 Uhr
Hallo Chonta,

habe alle Mails im Sammelpostfach beim Provider gelöscht. Auch die nicht zugestellten Mails aus dem Ordner "Badmail" von meiner Connectorsoftware POPcon, welche die Mails beim Provider abholt und an den Exchange weiterreicht, habe ich gelöscht. Von da kommt also auch nix.
Habe jetzt das Loggen im Exchange aktiviert und mir die Logs SmtpReceive und SmtpSend unter "C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog" angeguckt, finde aber nix auffälliges.

Und die Meldungen gehen munter weiter.

Was zum Geier versucht immer wieder diese Mail abzusetzen, so das GData ständig anschlägt? Wie krieg ich das raus?

Gruß, DQ
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
E-Mail
gelöst BLAT zum Mail versenden. Fehler für mich nicht lösbar (25)

Frage von 130217 zum Thema E-Mail ...

Outlook & Mail
gelöst E-Mail versenden mit PowerShell (6)

Frage von 112Timo zum Thema Outlook & Mail ...

Outlook & Mail
gelöst Office 365 - SMTP - automatisierte Mail versenden - "Gerät freigeben?!" (4)

Frage von KMUlife zum Thema Outlook & Mail ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...