relesys
Goto Top

Brief von Provider Mailserver versende SPAM

Hey Leute

Habe ein Problem bei einem Kunden:

Diese bekamen einen Brief vom ISP, dass der Mailserver SPAM versende.
Die ziehen in Betracht, dass Open Relay aktiv ist.

Das glaube ich nicht, habe jedoch in der Warteschlange vom Exchange einige Mails gefunden, von denen der Absender nicht in der Firma arbeitet...

Wie kann ich herausfinden, ob mein Exchange unsicher ist?

Vielen Dank für Eure Ideen
Relesys

Content-ID: 81238

Url: https://administrator.de/contentid/81238

Ausgedruckt am: 13.11.2024 um 07:11 Uhr

compispezi
compispezi 20.02.2008 um 18:02:11 Uhr
Goto Top
Hi,

gugstu

http://www.msxfaq.de/internet/relaytest.htm

dort stehten einige Tipps wie Du deinen Exchange testen kannst.

Wenn Du dort feststellst, das dein Exchange ein Relay darstellt kannst Du dies im Exchange ausschalten (ist eigentlich standardmäßig aus). Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen. Der Gdata Mailgateway bsw. ist per default ein Mailrelay den man erst darauf aufmerksam machen muß, das er keine Fremden Mails verschickt.

Wenn der Test feststellt das kein Relay offen ist, mußt Du die Rechner im Netz checken.
Ein verseuchter Rechner kann in einem Botnet hängen wo er als Spamschleuder mißbraucht wird.

Gruß
Helmut
relesys
relesys 21.02.2008 um 12:00:15 Uhr
Goto Top
Hey

Danke für die Tipps. Der Automatische Mailrelay-Test sagt, dass Exchange sicher ist.

Relay test result
All tests performed, no relays accepted.

Also, kann es nur noch an einem Client liegen oder an dem:

"Wenn der Relay ausgeschaltet ist, deine Exchange aber trotzdem als Relay mißbraucht wird kann dies auch an einen falsch konfigurierten Mailgateway liegen."
--> Versteh das nicht ganz. Wie kann ich das bei Exchange kontrollieren.

Falls es ein Client wäre: Wie finde ich am besten raus, welcher?

Grüsse Relesys
compispezi
compispezi 21.02.2008 um 12:39:56 Uhr
Goto Top
Hi

"Wenn der Relay ausgeschaltet ist,
deine Exchange aber trotzdem als Relay
mißbraucht wird kann dies auch an einen
falsch konfigurierten Mailgateway
liegen."
--> Versteh das nicht ganz. Wie kann ich
das bei Exchange kontrollieren.

Ok. Verschiedene Mailgateways - z.B.: Antivirenprogramme, Spamfilter oder ähnliche Programme klinken sich als SMTP Relay in deine Exchangelandschaft ein.

So ist z.B. der GDATA Mailgateway (Spam und Virenfilter, Bestandteil von AVK Enterprise) nur dann funktionabel wenn er den Standard SMTP Verkehr überwachen kann. Dies bedeutet Exchange bekommt für SMTP einen neuen Port zugeteilt. Den Port 25 überwacht dann der G-DATA. Im Mailgateway gibt es eine Option wo man einstellen kann, das der Mailgateway nur Mails der eigenen Domain relayen darf. Wenn man hier aber nichts einträgt ist der Server fortan ein offener Relay und es dauert min. 30 minuten bis er zum ersten mal missbraucht wird.

Da der Relaytest aber ein negatives Ergebnis gebracht hat, kannst Du dies ausschließen.

Falls es ein Client wäre: Wie finde ich
am besten raus, welcher?

Da du in der Warteschlage des Exchange verdächtige Mails gefunden hast, gib doch diese mal in Extras -> Nachrichtenstatus ein.

Good Luck
Helmut
relesys
relesys 21.02.2008 um 14:17:42 Uhr
Goto Top
Hey

Super, danke für die Infos!

Hmm, die Emails sind nun nicht mehr in der Warteschlange. Also gestern hatte ich noch 63 Mails dort drin. Nun leider keine mehr (ausser die vom System).

Aber ich weiss noch, all die Mails stammten von zwei Personen. Die eine ist die Sekretärin des Kunden, der andere ist eine Bank als absender... Da diese Bank aber niemandem etwas sagt, denke ich, dass diese Mails das Problem darstellten.

Nun, es ist aber nicht möglich, dass jemand den Exchange Server missbraucht, wenn er kein Relay macht? Also ist am wahrscheinlichsten, dass irgend wo ein Virus oder ähnlich auf einem Clientcomputer ist, oder?

Danke für die Hilfe
Grüsse Relesys
compispezi
compispezi 21.02.2008 um 14:33:32 Uhr
Goto Top
Hi.

Nun, es ist aber nicht möglich, dass
jemand den Exchange Server missbraucht, wenn
er kein Relay macht?

Das hast Du ja getestet.


Also ist am
wahrscheinlichsten, dass irgend wo ein Virus
oder ähnlich auf einem Clientcomputer
ist, oder?

Darauf würde ich jetzt mal tippen face-wink

Virenscan - am besten von Boot CD, sofern dein AV sowas erstellen kann - am Rechner der Secretärin. Dann noch mit Spyware Tester drüber.

Gruß
Helmut