Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Spamversand. Wie krieg ich den Übeltäter?

Frage Microsoft Exchange Server

Mitglied: Natscho21

Natscho21 (Level 1) - Jetzt verbinden

23.11.2010, aktualisiert 16:21 Uhr, 6902 Aufrufe, 9 Kommentare

Ich habe ein Problem, dass ein Mailserver unseres Kunden Spams versendet. Es handelt sich um einen Exchange Server 2003. E-Mail Direktempfang ist eingerichtet.

Ich habe alles so eingerichtet wie hier beschrieben http://www.msxfaq.de/notfall/relay.htm. Um es zu checken habe ich hier http://www.mxtoolbox.com/ geprüft ob der Mailserver ein openRelay ist. Ist er aber nicht.

In den Mails, die der Mailserver versenden will steht folgendes im Header:

Received: from onlineupdate.com ([75.144.37.34]) by DNSNameDesKunden with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 22 Nov 2010 10:44:13 +0100
From: PayPal <security@onlineupdate.com>
To: corsanmtl@videotron.ca
Subject: *PayPal Payment Confirmation/Shipping Tracking Number Needed*
Date: 22 Nov 2010 03:44:10 -0600
Message-ID: <20101122034410.3966AA685DE2B8DC@onlineupdate.com>

Das weißt doch eigentlich auf ein Relay hin oder? Die andere Variante ist, dass ja das sich einer authentifiziert, aber wie krieg ich das raus mit welchem User die sich dort authenfizieren?

Vielen Dank für eure Hilfe!

Gruß
Natscho
Mitglied: kaiand1
23.11.2010 um 16:45 Uhr
Moin
Poste einfach mal den ganzen Header, dort steht sehr viele Infos.
Das was du gepostet hast deutet nur hin das die Mail von onlineupdate.com gekommen ist als letzter Server.
Bitte warten ..
Mitglied: Natscho21
23.11.2010 um 16:53 Uhr
Hi, anbei der ganze Header:

Received: from onlineupdate.com ([75.144.37.34]) by DNSdesKunden with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 22 Nov 2010 10:44:13 +0100
From: PayPal <security@onlineupdate.com>
To: corsanmtl@videotron.ca
Subject: *PayPal Payment Confirmation/Shipping Tracking Number Needed*
Date: 22 Nov 2010 03:44:10 -0600
Message-ID: <20101122034410.3966AA685DE2B8DC@onlineupdate.com>
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Return-Path: security@onlineupdate.com
X-OriginalArrivalTime: 22 Nov 2010 09:44:13.0474 (UTC) FILETIME=[D22E6820:01CB8A29]

<html>
<title>*PayPal Payment Confirmation/Shipping Tracking Number Needed*</ti=
tle>
<FONT face=3DVerdana size=3D2>Dear PayPal Member,<br>
<br>

Mehr ist leider nicht aus der Mail rauszuholen nachdem ich sie aus der Queu rausgenommen habe.

Danke für deine Hilfe!
Gruß
Natscho
Bitte warten ..
Mitglied: ollembyssan
23.11.2010 um 16:56 Uhr
Hallo,

nun ja, der Header sagt aus, dass der Exchange die Mail angenommen hat.
Die Mail geht wohl an eine "nicht akzeptierte Domäne", da ich nicht denke, dass du die domäne videotron.ca verwaltest

Erweiterter Header wäre sinnvoll wie kaiand1 schon geschrieben hat, außerdem kannst du über nachrichtenstatus die nachricht verfolgen (messagetracking) in exchange 2003.
Bitte warten ..
Mitglied: Natscho21
23.11.2010 um 17:13 Uhr
Hi,

recht haste, die domain videotron.ca verwalte ich nicht

Mit einem erweiterten Header kann ich leider nicht dienen. Das ist alles was ich aus der Nachricht rauskitzeln konnte, sowohl über die möglichkeiten in Outlook Express, als auch das was mir angezeigt wird, wenn ich die Datei mit einem Editor öffne.

Im Nachrichten Status sehe ich nur das die ERstellungszeit der 22.11. um 10:44 war. Abesender und Empfänger stimmen mit dem im Header geposteten überein. Der Nachrichtenverlauf zeigt nur auf, dass er sie
10:44 1. Nachricht an Warteschlangenmechanismus übermittelt.
10:44 2. Übermittlung an erweitertem Warteschlangenmechanismus begonnen
10:44 3. an Kategorisierungmodul
10:44 4. kategorisiert und zur weiterleitung an die Warteschlange gestellt
10:44 5. Nachricht wurde weitergeleitet udn zur Remoteübermittlung in die Warteschlange gestellt.
11:21 6. Beginn der ausgehenden Übermittlung
11:21 7. Nachricht mittels SMTP übertragen
11:36 8. Beginn der ausgehenden Übermittlung
11:36 9. Nachricht mittels SMTP übertragen

Das war es, dann habe ich die Mail aus der Queue genommen.

Ich bin für jede Idee offen

Gruß
Thorsten
Bitte warten ..
Mitglied: ollembyssan
23.11.2010 um 20:39 Uhr
Hallo Natscho,

das sieht allerdings schon so aus, als ob dein Exchange-Server hat offenes Relay darstellt, stimmst du mir da zu, oder?
Hast du einmal von intern getestet, ob dein Exchange als solcher reagiert, mittles Befehlszeilentool und Telnet per SMTP?

Ansonsten, da ich deine Konfiguration nicht kenne, solltest du deine akzeptierten Domänen überprüfen und ggf. Spamfilter in Exchange 2003 aktivieren, falls noch nicht geschehen.

Spamfilter im Exchange 2003 im System-Manager, Globale-Einstellungen, Eigenschaften der Nachrichtenübermittlung.
Unter Administrative Gruppen <Name der Gruppe>, Server, <Name des Servers>, Protokolle, SMTP, Virtueller Standardserver für SMTP
müssen die jeweiligen Filter noch aktiviert werden!

Wachsen Transaktionsprotokolle auf dem Exchange rapide an?, Transaktionsprotokolle unter Exchange 2003 haben eine Größe von 5MB, falls dein Exchange ein Offenes-Relay darstellt, kannst du nachsehen, wie schnell die Transaktionsprotokolle in der Menge ansteigen, welches ein erstes Anzeichen für ein Offenes-Relay darstellt.

Gruß,

Ole
Bitte warten ..
Mitglied: Natscho21
01.12.2010 um 10:24 Uhr
Hi,

ich habe zwischenzeitlich eine Änderung vorgenommen. Auf dem SMTP Connector war der Exchange Server der als einziger als Relay eingetragener Server (wegen sendmail tool). Dort habe ich auch ihn entfernt und seit dem hat er keine Spams mehr versand.

Per Telnet konnte ich von aussen keine mails senden (unable to relay).

Ich werde das ganze die nächsten Tage weiter beobachten.

Danke für eure Hilfe.

Gruß
Natscho
Bitte warten ..
Mitglied: Natscho21
14.12.2010 um 16:35 Uhr
Hi zusammen,

leider macht er es schon wieder:

2010-12-14 0:6:59 GMT 216.13.129.42 onlineupdate.com and/or Kundenserver 10.0.0.5 jstuckart2@new.rr.ca 1031 20101213080208.80916644F0333D82@onlineupdate.com 0 0 12709 1 2010-12-13 13:2:32 GMT 0 Version: 6.0.3790.3959 - Receipt for Your Payment to Plimus Ltd. security@onlineupdate.com -

Das kann meiner Meinung nach doch nur bedeuten, dass sich die IP 216.13.129.42 rechtmäßig authentifiziert, oder? Ich weiß nur noch nicht ob und wenn wo ich sehen kann mit welchem User sich da authentifiziert wird....

Weiß einer ob ich das irgendwo prüfen kann? BTW: Was erweiterte logging habe ich aktiviert, aber im Ereignisprotokoll seh ich leider nichts.

Vielen Dank
Gruß
Natscho
Bitte warten ..
Mitglied: Natscho21
14.12.2010 um 16:58 Uhr
Hi,

der Filter ist aktiviert. Allerdings war die Absenderkennungsfilerung (Globale Einstellung/Nachrichtenübermittlung) auf Annehmen gestellt. Ich das jetzt mal auf Ablehnen gestellt.

Danke für den Hinweis.

Gruß
Natscho
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...