Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPAM-Versand über VPN bzw. feste IP

Frage Sicherheit Erkennung und -Abwehr

Mitglied: martin-xyz

martin-xyz (Level 1) - Jetzt verbinden

29.01.2013 um 15:02 Uhr, 2941 Aufrufe, 13 Kommentare

Hallo liebe Admins, ich habe ein Problem, das nun schon über Monate anhält: unser Server versendet tausendfach Spam. Allerdings nur, wenn wir über eine feste öffentliche IP im Netz sind.

Hintergrund: wir nutzen LTE-Internet, da hier nichts anderes verfügbar ist. Eine feste IP bekommen wir über einen Router von mdex (http://www.mdex.de/produkte/publicip/publicip-adresse-im-lte-netz/). Die IP benötigen wir, um über VPN auf den Server zuzugreifen.

Unser Server läuft mit SBS2003, gesichert mit Kaspersky Small Office Security.

Sobald wir den Router von mdex einstecken, d.h. über die feste öffentliche IP erreichbar sind, beginnt unser Server nach ca. 1-2 Stunden, Spam zu versenden. Erst wenige, dann pro Stunde zigtausende. Dieser Spam ist nicht im Outlook Postausgang zu sehen, sondern nur in der Warteschlange im Exchange-System-Manager. Der Spam-Versand beginnt auch, wenn keiner unserer Mitarbeiter per VPN verbunden ist. Wir haben regelmäßig alle Passwörter und Zugangsdaten geändert, aber ohne Wirkung. Alle Workstations habe ich mit der Kaspersky Security CD gecheckt, inkl. Windows unlocker im Vorfeld.

mdex hat den Router gecheckt und folgendes gemeldet: "eine Analyse der Zugriffsmöglichkeiten auf das Gerät unter der öffentlichen IP Adresse hat ergeben, das der "Server" viele öffene Port nach außen anbietet. Das ist grundsätzlich nicht verboten, man sollte dann nur für die Sicherheit bei den an diese Ports zu erreichenden Diensten sorgen, oder diese Port für den Zugriff sperren. In Ihrem Fall ist u,a. der Port 25 (SMTP) von außen ungeschützt zu erreichen.
Damit kann "jeder" E-Mails über diesen Server verschicken. Das würde auch den Effekt erklären, dass SPAM-Mails von diesem Server versendet werden.
PORT STATE SERVICE VERSION
25/tcp open smtp Microsoft ESMTP 6.0.3790.4675 42/tcp open wins Microsoft Windows Wins 53/tcp open domain Microsoft DNS 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open tcpwrapped 110/tcp open pop3 MS Exchange 2003 pop3d 6.5.7226.0 (German) 135/tcp open msrpc?"

Habt Ihr eine Idee was man unternehmen könnte?

Viele Grüße,


Martin
Mitglied: tikayevent
29.01.2013 um 15:09 Uhr
Vermutlich ist der SMTP-Empfangsconnector als Open-Relay konfiguriert, sprich er nimmt alles an, egal ob es für Ihn bestimmt ist oder nicht, liefert es dann aber auch an andere aus, wenn es nicht für Ihn ist. Den Connector musst du so einstellen, dass er aus dem öffentlichen Netz nur E-Mails annimmt, die er annehmen darf (also E-Mails die für euch sind) und nur aus dem privaten Netzwerk E-Mail annimmt, die nach draußen gehen dürfen.
Bitte warten ..
Mitglied: catachan
29.01.2013 um 15:11 Uhr
Hi

habt ihr außerdem noch eine Hardware-Firewall zwischen dem Router und dem Server. Für mich hört sich das so an als wäre da nix dazwischen

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013, aktualisiert um 15:14 Uhr
Moin,

Polemisch gesagt:Euren nackten Arsch im Internet bedecken.

So wie es aussieht, betreibt Ihr ein offenes Relay (= nackter Arsch im Internet). entweder Ihr konfiguriert euren Exchange korrekt, oder sucht euch jemanden, der das kann. Oder ihr schaltet einfach einen msarthost dazwischen, z.B. auf linuxbasis, der das gröbste von Eurem Server fernhält.


lks

Nachtrag: Ach ja, eine Firewall zwischen Router und Eurem Netz wäre auch nicht das dümmste.
Bitte warten ..
Mitglied: hajowe
29.01.2013 um 15:26 Uhr
Ich kann mich den Anderen nur absolut zustimmend anschliessen.

Mir klingt es auch so danac h als das da keinerlei Firewall dazwischen hängt.

Auch was Lochkartenstanzer schreibt ist absolut korrekt, meiner Meinung nach.

Z "gesichert mit Kaspersky Small Office Security" kann ich nur sagen.
Ich kenne das nur von einem Blick auf die Webseite, aber von Firewall habe ich dort nichts gesehen.
Also was nutzt dir die Absicherung von intern nacgh extern, wenn von extern nach intern die Scheune auf ist.

Mich wundert es das ihr es Euch scheinbar leisten könnt, einen derartigen Zustand seit Monaten zu haben.
Ich würde Dir dringend raten einen externen Fachkundigen mit ins Boot zu nehmen.

LG
Hajowe
Bitte warten ..
Mitglied: martin-xyz
29.01.2013 um 15:36 Uhr
Hallo catachan,

da ist tatsächlich nichts dazwischen, außer Kaspersky und der Windows Firewall. Kannst Du eine Firewall empfehlen für einen Server, der fünf bis zehn Rechner ans Netz bringen muß?

Viele Grüße

Martin
Bitte warten ..
Mitglied: martin-xyz
29.01.2013 um 15:43 Uhr
Zitat von hajowe:
Mich wundert es das ihr es Euch scheinbar leisten könnt, einen derartigen Zustand seit Monaten zu haben.
Ich würde Dir dringend raten einen externen Fachkundigen mit ins Boot zu nehmen.


... wir beschäftigen schon zwei EDV-Firmen, die sich intensiv damit auseinandersetzen.
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013, aktualisiert um 15:47 Uhr
Zitat von martin-xyz:
Hallo catachan,

da ist tatsächlich nichts dazwischen, außer Kaspersky und der Windows Firewall. Kannst Du eine Firewall empfehlen
für einen Server, der fünf bis zehn Rechner ans Netz bringen muß?



Suche mal nach pfsense, monowall und aqui in diesem Forum. Dann kommen Dir tonnenweise Anleitungen entgegen.

Ansonsten Astaro, watchgard, CISCO PIX, Checkpoint, und die anderen üblichen Verdächtigen., je nach Geldbeutel.

Die Firewall ändert aber nichts an eurem offenen Relay. da müßt Ihr hand anlegen (lassen).

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013 um 15:47 Uhr
Zitat von martin-xyz:
... wir beschäftigen schon zwei EDV-Firmen, die sich intensiv damit auseinandersetzen.

Und ein offenes Relay nicht erkennen? Ups. Was ist deren Spezialität? Warenwirtschaft? Maschinensteuerung?

Für alles gibt es spezialisten. Man sollte den richtigen holen. Und ein ordenlicher IT-ler sollte Schneid genug haben, jemandem besseren mit ins Boot zu holen, wenn man selbst nicht mehr weiterkommt.

lks
Bitte warten ..
Mitglied: Pjordorf
29.01.2013 um 15:48 Uhr
Hallo,

Zitat von martin-xyz:
da ist tatsächlich nichts dazwischen
Irgendwo muss doch ein Router stehen, oder? Der hat doch bestimmt NAT onboard, oder? Und er SBS hat seine eigene Firewall. Die ist auch besser als gar nichts. Aber das alles hilft nicht gegen ein Open Relay.

Kannst Du eine Firewall empfehlen
Jede Firewall kann das und ist besser als gar nichts. z.B. die Kostenlose Sphos UTM kann das auch. http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...

Warum diese ganzen geöffneten Ports? Dein SBS braucht nur:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)
443 TCP um damit RWW, OWA und RPC over HTTPs (Outlook over HTTPs) zu machen.
4125 TCP wenn RWW benutzt wird.
Port 80 TCP nur dann wenn es gewünscht wird das Anwender draussen im Internet anstelle von https auch http eingeben können (für die schreibfaulen)

http://support.microsoft.com/kb/324958/de
http://forums.msexchange.org/m_1800525576/mpage_1/key_/tm.htm#180052558 ...
http://www.mailradar.com/openrelay/

http://networktools.nl/
http://www.mxtoolbox.com/SuperTool.aspx
http://www.robtex.com/

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2013 um 16:18 Uhr
Zitat von Pjordorf:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)

Doch. Das passiert ganz schnell, wenn man den "konfigurations-Assistenten" falsch füttert.

lks
Bitte warten ..
Mitglied: martin-xyz
29.01.2013 um 16:23 Uhr
Hallo zusammen,

Tausend Dank für die ausführlichen Antworten! Ich bin sicher, Ihr habt mir sehr weiter geholfen! Ich trage jetzt mal alles zusammen und gebe es als Wunschpaket an unseren Dienstleister.
Dann bezeichne ich das Problem einfach mal vorschnell als "gelöst" und freue mich auf eine spamfreie Zeit.
Schönen Gruß

Martin
Bitte warten ..
Mitglied: HubertN
29.01.2013 um 18:53 Uhr
Moin

da muss ich auch noch mal eben meinen Senf dazu geben...

Ihr solltet euch ganz dringend auf die Suche nach einem Dienstleister begeben, der sich mit IT wenigstens rudimentär auskennt. Bei dem von dir beschriebenen Effekt ist das Erste, was ich als Admin mache, einen Relaytest auf den Server zu machen. Dauert 2 Minuten und das Problem wäre eingegrenzt gewesen. Ich staune da nicht schlecht, wenn ich lese, dass sich da bereits zwei

Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist ein "no go". Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen Ports im Internet offen hat. Da gilt eigentlich der Grundsatz erst einmal alles dicht zu machen und nur die Ports zu forwarden, die wirklich benötigt werden.

Gruß
Bitte warten ..
Der Kommentar von Evangeline wurde vom Moderator Dani am 07.03.13 ausgeblendet!
Mitglied: Lochkartenstanzer
07.03.2013 um 07:38 Uhr
Zitat von HubertN:
Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist
ein "no go".

Das würde ich so nicht unterschreiben. Es gibt auch Dienstleister die Ihr Handwerk verstehen und die Kisten dichtmachen können. Die sind dann aber meist zu teuer für die meisten BWLer, weil der Freund vom Kumpel des Sohnes des Geschäftsführers machts für ne Pizza.

Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen
Ports im Internet offen hat.

Honeypot?


lks
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst VPN, Feste IP-Adr. Verständnisfrage bzgl. GateWay (Einstufung: Sehr einfach) (14)

Frage von uuppss zum Thema Router & Routing ...

Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Exchange Server
MX Eintrag für Exchange-Server , habe aber nur feste IP (9)

Frage von Mausbiber zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...