5
SMTP und Relay wird missbraucht
Spam Server bauen verbindung übere SMTP zu meinem Server auf
Hallo.
Habe folgendes Problem.
Spammer versuchen meinen SBS 2003 Server mit Exchange zu missbrauchen.
Über Netstat kann ich sehen das die Verbindungen über SMPT hergestellt wurden.
Der MailGateway Protektor der auf Port 25 hört weist alle Anfragen dieser Server beständig ab.
Frage: wie kann ich die Verbindungen zu diesen Servern beenden? Warum konnten sich diese Server in erster Linie überhaupt mit meinem Server inkl. über Router Firewall verbinden?
Hier Auszug der aktiven Verbindungen über Netstat
Proto Lokale Adresse Remoteadresse Status
TCP sbs2003-ra:smtp 61.3.244.131:3051 WARTEND
TCP sbs2003-ra:smtp 61.182.248.183:2252 HERGESTELLT
TCP sbs2003-ra:smtp 61.185.19.77:54312 HERGESTELLT
TCP sbs2003-ra:smtp 61.248.234.54:3853 SCHLIESSEN_WARTEN
TCP sbs2003-ra:smtp 49.Red-80-59-185.pooles.rima-tde.net:4264 WARTE
ND
TCP sbs2003-ra:smtp mon75-3-82-67-195-38.fbx.proxad.net:4048 WARTEN
D
TCP sbs2003-ra:smtp 195.86.245.254:3471 WARTEND
TCP sbs2003-ra:smtp 200.58.180.42:3879 HERGESTELLT
TCP sbs2003-ra:smtp 200-101-045-235.gnace7006.dsl.brasiltelecom.net.
br:4820 HERGESTELLT
TCP sbs2003-ra:smtp 200-207-186-7.dial-up.telesp.net.br:2454 HERGES
TELLT
TCP sbs2003-ra:smtp c911a2ba.bhz.virtua.com.br:1933 HERGESTELLT
TCP sbs2003-ra:smtp dsl-201-129-205-196.prod-infinitum.com.mx:3892
HERGESTELLT
TCP sbs2003-ra:smtp dsl-201-129-236-164.prod-infinitum.com.mx:4625
HERGESTELLT
TCP sbs2003-ra:smtp dsl-201-135-133-253.prod-infinitum.com.mx:1530
HERGESTELLT
usw.
Gruss
Jonathan
Habe folgendes Problem.
Spammer versuchen meinen SBS 2003 Server mit Exchange zu missbrauchen.
Über Netstat kann ich sehen das die Verbindungen über SMPT hergestellt wurden.
Der MailGateway Protektor der auf Port 25 hört weist alle Anfragen dieser Server beständig ab.
Frage: wie kann ich die Verbindungen zu diesen Servern beenden? Warum konnten sich diese Server in erster Linie überhaupt mit meinem Server inkl. über Router Firewall verbinden?
Hier Auszug der aktiven Verbindungen über Netstat
Proto Lokale Adresse Remoteadresse Status
TCP sbs2003-ra:smtp 61.3.244.131:3051 WARTEND
TCP sbs2003-ra:smtp 61.182.248.183:2252 HERGESTELLT
TCP sbs2003-ra:smtp 61.185.19.77:54312 HERGESTELLT
TCP sbs2003-ra:smtp 61.248.234.54:3853 SCHLIESSEN_WARTEN
TCP sbs2003-ra:smtp 49.Red-80-59-185.pooles.rima-tde.net:4264 WARTE
ND
TCP sbs2003-ra:smtp mon75-3-82-67-195-38.fbx.proxad.net:4048 WARTEN
D
TCP sbs2003-ra:smtp 195.86.245.254:3471 WARTEND
TCP sbs2003-ra:smtp 200.58.180.42:3879 HERGESTELLT
TCP sbs2003-ra:smtp 200-101-045-235.gnace7006.dsl.brasiltelecom.net.
br:4820 HERGESTELLT
TCP sbs2003-ra:smtp 200-207-186-7.dial-up.telesp.net.br:2454 HERGES
TELLT
TCP sbs2003-ra:smtp c911a2ba.bhz.virtua.com.br:1933 HERGESTELLT
TCP sbs2003-ra:smtp dsl-201-129-205-196.prod-infinitum.com.mx:3892
HERGESTELLT
TCP sbs2003-ra:smtp dsl-201-129-236-164.prod-infinitum.com.mx:4625
HERGESTELLT
TCP sbs2003-ra:smtp dsl-201-135-133-253.prod-infinitum.com.mx:1530
HERGESTELLT
usw.
Gruss
Jonathan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 9961
Url: https://administrator.de/contentid/9961
Printed on: April 19, 2024 at 23:04 o'clock
5 Comments
Latest comment
Hallo Jonathan,
nicht nur Du!
)
Spammer durchforsten ständig das Netz nach offenen SMTP´s.
Erst wenn ein SPAMschutz am Gateway, oder auch im Server integriert, den Connect anhand einer Blacklist, RBL oder auch Reverse-DNS oder MX-Check identifiziert, wird er abgewiesen, je nachdem, welche Gegenmaßnahmen Du für SPAMmer verwendest.
Gruß, Rene
Grundsatz: An einem öffentlichen SMTP-Server kommt der "böse" SPAMmer erst mal bis in die "Empfangshalle", dann schmeissen ihn die "Türsteher" raus
Habe folgendes Problem.
nicht nur Du!
)Spammer versuchen meinen SBS 2003 Server mit
Exchange zu missbrauchen.
Das ist "normal". Exchange zu missbrauchen.
Spammer durchforsten ständig das Netz nach offenen SMTP´s.Warum konnten sich diese Server in erster Linie überhaupt mit meinem Server inkl. über
Router Firewall verbinden?
Nun, wenn Dein Exchange auch öffentlich erreichbar sein soll, dann nimmt der SMTP auch erstmal jeden Connect an - das ist ja auch richtig so.Router Firewall verbinden?
Erst wenn ein SPAMschutz am Gateway, oder auch im Server integriert, den Connect anhand einer Blacklist, RBL oder auch Reverse-DNS oder MX-Check identifiziert, wird er abgewiesen, je nachdem, welche Gegenmaßnahmen Du für SPAMmer verwendest.
Gruß, Rene
Grundsatz: An einem öffentlichen SMTP-Server kommt der "böse" SPAMmer erst mal bis in die "Empfangshalle", dann schmeissen ihn die "Türsteher" raus
Du hast natürlich noch die Möglichkeit, eingehenden Verkehr von diesen IP-Ranges per FW auszusperren... Nach Brasilien wird zB wohl keiner mailen.. Dann könnten sie höchstens noch über Proxies zugreifen. Aber das ist natürlich erheblicher Aufwand und ich würde ihn erst betreiben, wenn es überhand nimmt und die Services darunter leiden.
Gruß,
fritzo
Gruß,
fritzo
Hallo Gunpower,
lass dich nicht verrückt machen, solange du smtp mit Authentifizierung benutzt, haben die Spamer keine Chance deinen smtp-server als Schleuder zu benutzen.
Es gibt sicherlich drastische Methoden um Spam fern zu halten, doch ich z.B. will auf Mails aus Brasilien nicht verzichten.
Aber zwischen einen open-relay und enen SMTP-server, der adressierte Mails entgegennimmt, ist ein riesen Unterschied.
lass dich nicht verrückt machen, solange du smtp mit Authentifizierung benutzt, haben die Spamer keine Chance deinen smtp-server als Schleuder zu benutzen.
Es gibt sicherlich drastische Methoden um Spam fern zu halten, doch ich z.B. will auf Mails aus Brasilien nicht verzichten.
Aber zwischen einen open-relay und enen SMTP-server, der adressierte Mails entgegennimmt, ist ein riesen Unterschied.
Hi,
das SMTP Überwachungsprotokoll meldet das eine große Anzahl Nachrichten in der Nachrichtenwarteschlage bei Exchange sitzen. Habe es überprüft. Dort sitzen 1000 und mehr Nachrichten. Habe jetzt die Einstellung "Nur Authentifiziete Rechner können Nachrichten versenden" eingestellt. Den Absender habe ich in die Blacklist beim Mailgateway eingetragen. Wie aber bekomme ich aber jetzt die Nachrichten aus Exchnage gelöscht?.
Gruss
Jonathan
das SMTP Überwachungsprotokoll meldet das eine große Anzahl Nachrichten in der Nachrichtenwarteschlage bei Exchange sitzen. Habe es überprüft. Dort sitzen 1000 und mehr Nachrichten. Habe jetzt die Einstellung "Nur Authentifiziete Rechner können Nachrichten versenden" eingestellt. Den Absender habe ich in die Blacklist beim Mailgateway eingetragen. Wie aber bekomme ich aber jetzt die Nachrichten aus Exchnage gelöscht?.
Gruss
Jonathan
Hallo Kollege,
um die Warteschlangen löschen zu können müßen verschieden Schritte durchgeführt werden. Eine kleine Anleitung hier als Link bei MS
http://support.microsoft.com/?scid=kb;en-us;835734
um die Warteschlangen löschen zu können müßen verschieden Schritte durchgeführt werden. Eine kleine Anleitung hier als Link bei MS
http://support.microsoft.com/?scid=kb;en-us;835734
