2
Eingehende Mail wird geblockt eigene Domäne ist im FROM Feld
Hallo,
ich erinnere leider nicht mehr wer/ob bei einem Win2012 r2 / Exchange 2013 ueber Powershell ein "CEO FRAUD BLOCKER" mittels "Powershell one-liner" eingefügt wurde. Ich müsste einmal prüfen ob man Exception einfügen kann.
Es war sowas wie Transportregel: wenn eingehende externe Email von eigener Domäne *@firma1.de an *@firma1.de ankommt, dann blocken. (der Exchange hat einen direkten MX Eintrag auf *@firma1.de) Im Webadmin ECP ist jedoch keine Transporttegel zusehen.
Problem: Das Web-Kontaktformular (wordpress) der Firma1-Homepage sendet jedoch aktuell mit Absender webmaster@firma1.de an info@firma1.de
(stattdessen kommt u.g. Bouncer im Posteingang von info@firma1.de)
Die Wordpress-Absenderkennung konnte aktuell noch nicht geändert werden. (das geht auf jeden fall oder?)
ESET/Watchguard SMTP Proxy verursachen das Problem eigentlich nicht.
Auszug NDR / BOUNCER:
+++
Die folgende Organisation hat Ihre Nachricht abgelehnt: [öff. IP Adresse des Ziel Exchangeservers]
Diagnoseinformationen für Administratoren:
Generierender Server: smarthost-ueber-den-die-email-versendet-wurde
info@firma.de
[öff. IP Adresse des Ziel Exchangeservers]
Remote Server returned '<[öff. IP Adresse des Ziel Exchangeservers] #5.0.0 smtp; 5.1.0 - Unknown address error 550-'Requested action not taken: mailbox unavailable' (delivery attempts: 0)>'
In diesen Logfiles habe ich leider nix gefunden:
Exchange Management Log
Exchange 2010 und neuer protokollieren alle PowerShell-Aufruf in einem eigenen Eventlog. Die Hafnium-Gruppe hat z.B. "set-OABVirtualDirectory aufgerufen. Aber andere Angreifer können andere Aktionen auslösen. Eine einfache Kontrolle der ausgeführten Befehle seit dem Angriff ist eine gute Idee.
Get-WinEvent -LogName "MSExchange Management" | export-csv exchangeevent.csv
PowerShell History
Wussten sie, dass Powershell eine "History" pflegt? Jeder Befehlt, der in der PowerShell eingegeben wird, landet in diesem Log und mit etwas Glück können Sie hier die Aktionen nachverfolgen. Leider ist das Log nicht "global" sondern pro Benutzer. Sie müssen das richtige Verzeichnis finden. Für Benutzer steht es unter:
%AppData%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
ich erinnere leider nicht mehr wer/ob bei einem Win2012 r2 / Exchange 2013 ueber Powershell ein "CEO FRAUD BLOCKER" mittels "Powershell one-liner" eingefügt wurde. Ich müsste einmal prüfen ob man Exception einfügen kann.
Es war sowas wie Transportregel: wenn eingehende externe Email von eigener Domäne *@firma1.de an *@firma1.de ankommt, dann blocken. (der Exchange hat einen direkten MX Eintrag auf *@firma1.de) Im Webadmin ECP ist jedoch keine Transporttegel zusehen.
Problem: Das Web-Kontaktformular (wordpress) der Firma1-Homepage sendet jedoch aktuell mit Absender webmaster@firma1.de an info@firma1.de
(stattdessen kommt u.g. Bouncer im Posteingang von info@firma1.de)
Die Wordpress-Absenderkennung konnte aktuell noch nicht geändert werden. (das geht auf jeden fall oder?)
ESET/Watchguard SMTP Proxy verursachen das Problem eigentlich nicht.
Auszug NDR / BOUNCER:
+++
Die folgende Organisation hat Ihre Nachricht abgelehnt: [öff. IP Adresse des Ziel Exchangeservers]
Diagnoseinformationen für Administratoren:
Generierender Server: smarthost-ueber-den-die-email-versendet-wurde
info@firma.de
[öff. IP Adresse des Ziel Exchangeservers]
Remote Server returned '<[öff. IP Adresse des Ziel Exchangeservers] #5.0.0 smtp; 5.1.0 - Unknown address error 550-'Requested action not taken: mailbox unavailable' (delivery attempts: 0)>'
In diesen Logfiles habe ich leider nix gefunden:
Exchange Management Log
Exchange 2010 und neuer protokollieren alle PowerShell-Aufruf in einem eigenen Eventlog. Die Hafnium-Gruppe hat z.B. "set-OABVirtualDirectory aufgerufen. Aber andere Angreifer können andere Aktionen auslösen. Eine einfache Kontrolle der ausgeführten Befehle seit dem Angriff ist eine gute Idee.
Get-WinEvent -LogName "MSExchange Management" | export-csv exchangeevent.csv
dies hat Windows 2012 nicht:
PowerShell HistoryWussten sie, dass Powershell eine "History" pflegt? Jeder Befehlt, der in der PowerShell eingegeben wird, landet in diesem Log und mit etwas Glück können Sie hier die Aktionen nachverfolgen. Leider ist das Log nicht "global" sondern pro Benutzer. Sie müssen das richtige Verzeichnis finden. Für Benutzer steht es unter:
%AppData%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1970929291
Url: https://administrator.de/forum/eingehende-mail-wird-geblockt-eigene-domaene-ist-im-from-feld-1970929291.html
Ausgedruckt am: 04.04.2025 um 06:04 Uhr
2 Kommentare
Neuester Kommentar
Moin,
warum nicht für den Mailversand von Internetseiten & Co. nicht auf eine dedizierte Domain ausweichen?
In Kombination der Headers SMTP und Envelope sollte das kein Problem. Mit Verwendung der Parameter Return-To, etc. kann man die Kommunikation gesteuert werden.
Gruß,
Dani
warum nicht für den Mailversand von Internetseiten & Co. nicht auf eine dedizierte Domain ausweichen?
In Kombination der Headers SMTP und Envelope sollte das kein Problem. Mit Verwendung der Parameter Return-To, etc. kann man die Kommunikation gesteuert werden.
Gruß,
Dani
Zitat von @Dani:
Moin,
warum nicht für den Mailversand von Internetseiten & Co. nicht auf eine dedizierte Domain ausweichen?
In Kombination der Headers SMTP und Envelope sollte das kein Problem. Mit Verwendung der Parameter Return-To, etc. kann man die Kommunikation gesteuert werden.
Gruß,
Dani
Moin,
warum nicht für den Mailversand von Internetseiten & Co. nicht auf eine dedizierte Domain ausweichen?
In Kombination der Headers SMTP und Envelope sollte das kein Problem. Mit Verwendung der Parameter Return-To, etc. kann man die Kommunikation gesteuert werden.
Gruß,
Dani
Ja - sehe ich genauso danke!
