7
SPAM Versender im Netz herausfinden
Wer spammt aus meinem Netz raus????
Hallo Leute!
Ich hab einen Windows 2003-Server mit Exchange 2003. Der Exchange empfängt über feste IP und MX-Record, versendet über Smarthost beim Provider. Nun werden aus dem internen Netzwerk nach außen SPAMS versendet.
Kann mir jemand einen Tip geben wie ich herausfinden kann von welcher Maschine im Netzwerk die SPAMS ausgehen? Ich habe die Protokollierung in Exchange aktiviert, muss aber gestehen, dass ich mit der unübersichtlichen und ewig großen Log-Datei nicht wirklich was anfangen kann.
Ich Danke Euch im Voraus für jede Hilfe!
Ich hab einen Windows 2003-Server mit Exchange 2003. Der Exchange empfängt über feste IP und MX-Record, versendet über Smarthost beim Provider. Nun werden aus dem internen Netzwerk nach außen SPAMS versendet.
Kann mir jemand einen Tip geben wie ich herausfinden kann von welcher Maschine im Netzwerk die SPAMS ausgehen? Ich habe die Protokollierung in Exchange aktiviert, muss aber gestehen, dass ich mit der unübersichtlichen und ewig großen Log-Datei nicht wirklich was anfangen kann.
Ich Danke Euch im Voraus für jede Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103287
Url: https://administrator.de/contentid/103287
Printed on: April 26, 2024 at 14:04 o'clock
7 Comments
Latest comment
Moin,
vorab, ne 100% Lösung hab ich leider nicht.
geht mit genauso. Selbst das umkonvertieren für den Import in eine Excelltabelle bringt da nichts. So weit ich meine Logs aber gelesen habe (wird bei dir etwas anders sein), schreibt der nur den Status vom Connector rein...
Ich glaube, mit den reinen Exchangeboardmitteln wirst du nicht wirklich viel Möglichkeiten haben.
Die einzige Möglichkeit, die mir einfallen würde, wäre über das SNAP-IN "EXCHANGE-SYSTEMMANAGER -> EXTRAS -> NACHRICHTENSTATUS -> und bei ID, die Nachrichten ID aus dem Logfile eintragen. (ID aus LOGfile, dass kannst du an der Stelle auch nur Stichprobenartig). Aber so bekommst du wenigstens den Absender heraus und weißt am Ende auch, welche Maschine dahinter steckt.
So, nun bleib ich bei diesem Thema auch auf den laufenden,
Gruß,
Knut.
vorab, ne 100% Lösung hab ich leider nicht.
Ich habe die Protokollierung in Exchange aktiviert, muss aber gestehen, dass ich mit der unübersichtlichen und ewig großen Log-Datei nicht wirklich was anfangen kann.
geht mit genauso. Selbst das umkonvertieren für den Import in eine Excelltabelle bringt da nichts. So weit ich meine Logs aber gelesen habe (wird bei dir etwas anders sein), schreibt der nur den Status vom Connector rein...
Ich glaube, mit den reinen Exchangeboardmitteln wirst du nicht wirklich viel Möglichkeiten haben.
Die einzige Möglichkeit, die mir einfallen würde, wäre über das SNAP-IN "EXCHANGE-SYSTEMMANAGER -> EXTRAS -> NACHRICHTENSTATUS -> und bei ID, die Nachrichten ID aus dem Logfile eintragen. (ID aus LOGfile, dass kannst du an der Stelle auch nur Stichprobenartig). Aber so bekommst du wenigstens den Absender heraus und weißt am Ende auch, welche Maschine dahinter steckt.
So, nun bleib ich bei diesem Thema auch auf den laufenden,
Gruß,
Knut.
Hallo Knut!
Ich danke Dir für Deine Antwort!
Wir haben als Provider die Telekom. Die gehen so vor, daß nur Absender per SMTP versenden können, die als Postfach bei Telekom angelegt sind. Das ist deren Art Spams zu verhindern. Damit bekommt unser Exchange die Mails mit fiktiven Absenderadressen nicht raus da die ja natürlich nicht draussen angelegt sind.
Das ist zwar saublöd, verhindert in der jetzigen Situation aber, daß die Spams wirklich rausgehen.
Die hängen jetzt halt in in der Exchange-Warteschlange "Nachrichten in Warteschlange für verzögerte Übermittlung", werden dort immer mehr und blockieren irgendwann den Exchangeserver wenn es zuviele werden.
Hat sonst noch wer eine gute Idee???
Danke erst mal!!!
Ich danke Dir für Deine Antwort!
Wir haben als Provider die Telekom. Die gehen so vor, daß nur Absender per SMTP versenden können, die als Postfach bei Telekom angelegt sind. Das ist deren Art Spams zu verhindern. Damit bekommt unser Exchange die Mails mit fiktiven Absenderadressen nicht raus da die ja natürlich nicht draussen angelegt sind.
Das ist zwar saublöd, verhindert in der jetzigen Situation aber, daß die Spams wirklich rausgehen.
Die hängen jetzt halt in in der Exchange-Warteschlange "Nachrichten in Warteschlange für verzögerte Übermittlung", werden dort immer mehr und blockieren irgendwann den Exchangeserver wenn es zuviele werden.
Hat sonst noch wer eine gute Idee???
Danke erst mal!!!
Blöde Frage, die Spams kommen zu 100% über deinen Exchange nach außen? Woher weisst du das? Sicher, dass du nicht einfach ndlr mit gefaktem absender bekommst?
Zitat von @Computerschreck:
Die hängen jetzt halt in in der Exchange-Warteschlange
"Nachrichten in Warteschlange für verzögerte
Übermittlung", werden dort immer mehr und blockieren
irgendwann den Exchangeserver wenn es zuviele werden.
Die hängen jetzt halt in in der Exchange-Warteschlange
"Nachrichten in Warteschlange für verzögerte
Übermittlung", werden dort immer mehr und blockieren
irgendwann den Exchangeserver wenn es zuviele werden.
Du musst irgendwie an eine solche Mail rankommen um die Headerdaten auslesen zu können. Dann kannst Du auch den Absender ermitteln.
Der muss ja nicht zwangsläufig von intern sein - vielleicht wird Dein Server als Spamrelay von aussen benutzt?
http://www.msxfaq.de/konzepte/smtprelay.htm
Ansonsten hilft Dir vielleicht auch ein Filter erstmal weiter?
z.B. http://www.msxfaq.de/spam/exspam.htm
Habt Ihr keine zusätzliche Antiviren-/Spamfilterung vor dem Exchange? Der Sybari AntiGen beispielsweise kann auch die Mails abgreifen, die versendet werden.
HTH
J.
Hallo Leute!
ich danke Euch allen für Eure netten Beiträge!
Es scheint so, daß das Problem beseitigt ist. Zumindest sammelt sich jetzt nichts mehr an in der Warteschlange für verzögerte Übermittlung.
Leider hab ich nun das Problem, dass ich nicht genau weiss welche Maßnahme das Problem gelöst hat. Weil da bei einem Kunden der Exchange und damit der Mailverkehr in Gefahr war, mussten wir schnell handeln und vieles gleichzeitig tun.
Ich liste aber mal auf was wir alles unternommen haben:
- Wir haben alle Einstellungen in Exchange gemäß msxfaq nochmals überprüft die Relaying betreffen. Das war alles soweit in Ordnung. Relaying ist an jeder Stelle deaktiviert.
- Wir haben mit den Filter-Funktionen rumexperimentiert
- Wir haben den Virenschutz geändert auf Trend Micro Business Advanced und damit alle PC und Server gescannt und gesäubert
- Wir haben die Firewall durchgesehen und einige Einstellungen noch restriktiver gemacht
Ist immer blöde, wenn man ein Problem löst und nicht weiss wie.
An chewbakka:
Das wüsste ich auch gerne. Ich bin mir auch nicht klar ob die SPAM-Mails von innen oder von außen kommen. Da in der betreffenden Firma die Mitarbeiter ohne Ende privat surfen und sich immer wieder wilde Geschichten einfangen, bin ich erst mal von einem internen Versender ausgegangen da die Relayfunktionen am Exchange ja alle ausgeschaltet sind.
An driver401:
Jetzt tritt das Problem gerade nicht mehr auf. So kann ich leider nicht versuchen an eine dieser Mails heranzukommen. Ich wüsste auch nicht, wie ich das machen sollte wenn die in der Warteschlange liegen.
Danke an Euch beide!
ich danke Euch allen für Eure netten Beiträge!
Es scheint so, daß das Problem beseitigt ist. Zumindest sammelt sich jetzt nichts mehr an in der Warteschlange für verzögerte Übermittlung.
Leider hab ich nun das Problem, dass ich nicht genau weiss welche Maßnahme das Problem gelöst hat. Weil da bei einem Kunden der Exchange und damit der Mailverkehr in Gefahr war, mussten wir schnell handeln und vieles gleichzeitig tun.
Ich liste aber mal auf was wir alles unternommen haben:
- Wir haben alle Einstellungen in Exchange gemäß msxfaq nochmals überprüft die Relaying betreffen. Das war alles soweit in Ordnung. Relaying ist an jeder Stelle deaktiviert.
- Wir haben mit den Filter-Funktionen rumexperimentiert
- Wir haben den Virenschutz geändert auf Trend Micro Business Advanced und damit alle PC und Server gescannt und gesäubert
- Wir haben die Firewall durchgesehen und einige Einstellungen noch restriktiver gemacht
Ist immer blöde, wenn man ein Problem löst und nicht weiss wie.
An chewbakka:
Das wüsste ich auch gerne. Ich bin mir auch nicht klar ob die SPAM-Mails von innen oder von außen kommen. Da in der betreffenden Firma die Mitarbeiter ohne Ende privat surfen und sich immer wieder wilde Geschichten einfangen, bin ich erst mal von einem internen Versender ausgegangen da die Relayfunktionen am Exchange ja alle ausgeschaltet sind.
An driver401:
Jetzt tritt das Problem gerade nicht mehr auf. So kann ich leider nicht versuchen an eine dieser Mails heranzukommen. Ich wüsste auch nicht, wie ich das machen sollte wenn die in der Warteschlange liegen.
Danke an Euch beide!
Zitat von @Computerschreck:
Jetzt tritt das Problem gerade nicht mehr auf. So kann ich leider
nicht versuchen an eine dieser Mails heranzukommen. Ich wüsste
auch nicht, wie ich das machen sollte wenn die in der Warteschlange
liegen.
Jetzt tritt das Problem gerade nicht mehr auf. So kann ich leider
nicht versuchen an eine dieser Mails heranzukommen. Ich wüsste
auch nicht, wie ich das machen sollte wenn die in der Warteschlange
liegen.
Schon klar. Wüßte ich aus dem Stegreif auch nicht, und da hier nix in der Warteschlange liegt, kann ich auch nix probieren.
Hat der Virenscan denn was gefunden? Das könnte Deine Lösung gewesen sein.
Gruß
Jürgen
Hallo Jürgen!
Trend Micro hat schon was gefunden, das ist bei dem Netz mit Usern die privat Surfen auch nichts außergewöhnliches.
Leider weiss ich wirklich nicht wie ich das Problem gelöst habe. Ist nicht ganz befriedigend. Na, ja, haauptsache der Kunde ist zufrieden.
Danke Dir und schönen Abend!
Trend Micro hat schon was gefunden, das ist bei dem Netz mit Usern die privat Surfen auch nichts außergewöhnliches.
Leider weiss ich wirklich nicht wie ich das Problem gelöst habe. Ist nicht ganz befriedigend. Na, ja, haauptsache der Kunde ist zufrieden.
Danke Dir und schönen Abend!