Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPAM-Versand über VPN bzw. feste IP

Frage Sicherheit Erkennung und -Abwehr

Mitglied: martin-xyz

martin-xyz (Level 1) - Jetzt verbinden

29.01.2013 um 15:02 Uhr, 3004 Aufrufe, 13 Kommentare

Hallo liebe Admins, ich habe ein Problem, das nun schon über Monate anhält: unser Server versendet tausendfach Spam. Allerdings nur, wenn wir über eine feste öffentliche IP im Netz sind.

Hintergrund: wir nutzen LTE-Internet, da hier nichts anderes verfügbar ist. Eine feste IP bekommen wir über einen Router von mdex (http://www.mdex.de/produkte/publicip/publicip-adresse-im-lte-netz/). Die IP benötigen wir, um über VPN auf den Server zuzugreifen.

Unser Server läuft mit SBS2003, gesichert mit Kaspersky Small Office Security.

Sobald wir den Router von mdex einstecken, d.h. über die feste öffentliche IP erreichbar sind, beginnt unser Server nach ca. 1-2 Stunden, Spam zu versenden. Erst wenige, dann pro Stunde zigtausende. Dieser Spam ist nicht im Outlook Postausgang zu sehen, sondern nur in der Warteschlange im Exchange-System-Manager. Der Spam-Versand beginnt auch, wenn keiner unserer Mitarbeiter per VPN verbunden ist. Wir haben regelmäßig alle Passwörter und Zugangsdaten geändert, aber ohne Wirkung. Alle Workstations habe ich mit der Kaspersky Security CD gecheckt, inkl. Windows unlocker im Vorfeld.

mdex hat den Router gecheckt und folgendes gemeldet: "eine Analyse der Zugriffsmöglichkeiten auf das Gerät unter der öffentlichen IP Adresse hat ergeben, das der "Server" viele öffene Port nach außen anbietet. Das ist grundsätzlich nicht verboten, man sollte dann nur für die Sicherheit bei den an diese Ports zu erreichenden Diensten sorgen, oder diese Port für den Zugriff sperren. In Ihrem Fall ist u,a. der Port 25 (SMTP) von außen ungeschützt zu erreichen.
Damit kann "jeder" E-Mails über diesen Server verschicken. Das würde auch den Effekt erklären, dass SPAM-Mails von diesem Server versendet werden.
PORT STATE SERVICE VERSION
25/tcp open smtp Microsoft ESMTP 6.0.3790.4675 42/tcp open wins Microsoft Windows Wins 53/tcp open domain Microsoft DNS 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open tcpwrapped 110/tcp open pop3 MS Exchange 2003 pop3d 6.5.7226.0 (German) 135/tcp open msrpc?"

Habt Ihr eine Idee was man unternehmen könnte?

Viele Grüße,


Martin
Mitglied: tikayevent
29.01.2013 um 15:09 Uhr
Vermutlich ist der SMTP-Empfangsconnector als Open-Relay konfiguriert, sprich er nimmt alles an, egal ob es für Ihn bestimmt ist oder nicht, liefert es dann aber auch an andere aus, wenn es nicht für Ihn ist. Den Connector musst du so einstellen, dass er aus dem öffentlichen Netz nur E-Mails annimmt, die er annehmen darf (also E-Mails die für euch sind) und nur aus dem privaten Netzwerk E-Mail annimmt, die nach draußen gehen dürfen.
Bitte warten ..
Mitglied: catachan
29.01.2013 um 15:11 Uhr
Hi

habt ihr außerdem noch eine Hardware-Firewall zwischen dem Router und dem Server. Für mich hört sich das so an als wäre da nix dazwischen

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013, aktualisiert um 15:14 Uhr
Moin,

Polemisch gesagt:Euren nackten Arsch im Internet bedecken.

So wie es aussieht, betreibt Ihr ein offenes Relay (= nackter Arsch im Internet). entweder Ihr konfiguriert euren Exchange korrekt, oder sucht euch jemanden, der das kann. Oder ihr schaltet einfach einen msarthost dazwischen, z.B. auf linuxbasis, der das gröbste von Eurem Server fernhält.


lks

Nachtrag: Ach ja, eine Firewall zwischen Router und Eurem Netz wäre auch nicht das dümmste.
Bitte warten ..
Mitglied: hajowe
29.01.2013 um 15:26 Uhr
Ich kann mich den Anderen nur absolut zustimmend anschliessen.

Mir klingt es auch so danac h als das da keinerlei Firewall dazwischen hängt.

Auch was Lochkartenstanzer schreibt ist absolut korrekt, meiner Meinung nach.

Z "gesichert mit Kaspersky Small Office Security" kann ich nur sagen.
Ich kenne das nur von einem Blick auf die Webseite, aber von Firewall habe ich dort nichts gesehen.
Also was nutzt dir die Absicherung von intern nacgh extern, wenn von extern nach intern die Scheune auf ist.

Mich wundert es das ihr es Euch scheinbar leisten könnt, einen derartigen Zustand seit Monaten zu haben.
Ich würde Dir dringend raten einen externen Fachkundigen mit ins Boot zu nehmen.

LG
Hajowe
Bitte warten ..
Mitglied: martin-xyz
29.01.2013 um 15:36 Uhr
Hallo catachan,

da ist tatsächlich nichts dazwischen, außer Kaspersky und der Windows Firewall. Kannst Du eine Firewall empfehlen für einen Server, der fünf bis zehn Rechner ans Netz bringen muß?

Viele Grüße

Martin
Bitte warten ..
Mitglied: martin-xyz
29.01.2013 um 15:43 Uhr
Zitat von hajowe:
Mich wundert es das ihr es Euch scheinbar leisten könnt, einen derartigen Zustand seit Monaten zu haben.
Ich würde Dir dringend raten einen externen Fachkundigen mit ins Boot zu nehmen.


... wir beschäftigen schon zwei EDV-Firmen, die sich intensiv damit auseinandersetzen.
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013, aktualisiert um 15:47 Uhr
Zitat von martin-xyz:
Hallo catachan,

da ist tatsächlich nichts dazwischen, außer Kaspersky und der Windows Firewall. Kannst Du eine Firewall empfehlen
für einen Server, der fünf bis zehn Rechner ans Netz bringen muß?



Suche mal nach pfsense, monowall und aqui in diesem Forum. Dann kommen Dir tonnenweise Anleitungen entgegen.

Ansonsten Astaro, watchgard, CISCO PIX, Checkpoint, und die anderen üblichen Verdächtigen., je nach Geldbeutel.

Die Firewall ändert aber nichts an eurem offenen Relay. da müßt Ihr hand anlegen (lassen).

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013 um 15:47 Uhr
Zitat von martin-xyz:
... wir beschäftigen schon zwei EDV-Firmen, die sich intensiv damit auseinandersetzen.

Und ein offenes Relay nicht erkennen? Ups. Was ist deren Spezialität? Warenwirtschaft? Maschinensteuerung?

Für alles gibt es spezialisten. Man sollte den richtigen holen. Und ein ordenlicher IT-ler sollte Schneid genug haben, jemandem besseren mit ins Boot zu holen, wenn man selbst nicht mehr weiterkommt.

lks
Bitte warten ..
Mitglied: Pjordorf
29.01.2013 um 15:48 Uhr
Hallo,

Zitat von martin-xyz:
da ist tatsächlich nichts dazwischen
Irgendwo muss doch ein Router stehen, oder? Der hat doch bestimmt NAT onboard, oder? Und er SBS hat seine eigene Firewall. Die ist auch besser als gar nichts. Aber das alles hilft nicht gegen ein Open Relay.

Kannst Du eine Firewall empfehlen
Jede Firewall kann das und ist besser als gar nichts. z.B. die Kostenlose Sphos UTM kann das auch. http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...

Warum diese ganzen geöffneten Ports? Dein SBS braucht nur:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)
443 TCP um damit RWW, OWA und RPC over HTTPs (Outlook over HTTPs) zu machen.
4125 TCP wenn RWW benutzt wird.
Port 80 TCP nur dann wenn es gewünscht wird das Anwender draussen im Internet anstelle von https auch http eingeben können (für die schreibfaulen)

http://support.microsoft.com/kb/324958/de
http://forums.msexchange.org/m_1800525576/mpage_1/key_/tm.htm#180052558 ...
http://www.mailradar.com/openrelay/

http://networktools.nl/
http://www.mxtoolbox.com/SuperTool.aspx
http://www.robtex.com/

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013 um 16:18 Uhr
Zitat von Pjordorf:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)

Doch. Das passiert ganz schnell, wenn man den "konfigurations-Assistenten" falsch füttert.

lks
Bitte warten ..
Mitglied: martin-xyz
29.01.2013 um 16:23 Uhr
Hallo zusammen,

Tausend Dank für die ausführlichen Antworten! Ich bin sicher, Ihr habt mir sehr weiter geholfen! Ich trage jetzt mal alles zusammen und gebe es als Wunschpaket an unseren Dienstleister.
Dann bezeichne ich das Problem einfach mal vorschnell als "gelöst" und freue mich auf eine spamfreie Zeit.
Schönen Gruß

Martin
Bitte warten ..
Mitglied: HubertN
29.01.2013 um 18:53 Uhr
Moin

da muss ich auch noch mal eben meinen Senf dazu geben...

Ihr solltet euch ganz dringend auf die Suche nach einem Dienstleister begeben, der sich mit IT wenigstens rudimentär auskennt. Bei dem von dir beschriebenen Effekt ist das Erste, was ich als Admin mache, einen Relaytest auf den Server zu machen. Dauert 2 Minuten und das Problem wäre eingegrenzt gewesen. Ich staune da nicht schlecht, wenn ich lese, dass sich da bereits zwei

Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist ein "no go". Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen Ports im Internet offen hat. Da gilt eigentlich der Grundsatz erst einmal alles dicht zu machen und nur die Ports zu forwarden, die wirklich benötigt werden.

Gruß
Bitte warten ..
Der Kommentar von Evangeline wurde vom Moderator Dani am 07.03.13 ausgeblendet!
Mitglied: Lochkartenstanzer
07.03.2013 um 07:38 Uhr
Zitat von HubertN:
Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist
ein "no go".

Das würde ich so nicht unterschreiben. Es gibt auch Dienstleister die Ihr Handwerk verstehen und die Kisten dichtmachen können. Die sind dann aber meist zu teuer für die meisten BWLer, weil der Freund vom Kumpel des Sohnes des Geschäftsführers machts für ne Pizza.

Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen
Ports im Internet offen hat.

Honeypot?


lks
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Exchange Server und VPN Gateway: Eine feste IP ausreichend?
gelöst Frage von lattenluiNetzwerkgrundlagen6 Kommentare

Hallo, ich sehe gerade den Wald vor lauter Bäumen nicht mehr: Ich habe einen SDSL Anschluss mit einer festen ...

E-Mail
Mail Spam fremde IP
gelöst Frage von BerndPE-Mail10 Kommentare

Servus, Wir haben einen SBS2011. Mails werden entweder über POP3-Connector empfangen und über SMTP-Sendeconnector (kleiner Webhoster) gesendet oder über ...

E-Mail
MX Smarthost feste IP
Frage von BonnyLivingE-Mail1 Kommentar

Hallo, von UnityMedia habe ich einen Anschluss mit fester IP bekommen, jetzt möchte ich meinen eigenen MX und Smarthost ...

Server
Feste IP oder Domainname für Rootserver
Frage von achim222Server9 Kommentare

Hallo, ich habe einen Rootserver mit einer festen IP bei OVH laufen. Dort laufen die User per RDP auf. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 8 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 13 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 13 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...