speezy
Goto Top

Ewiges Spam Problem aus Lokalem Netzwerk!

Hallo Leute.

Brauch mal Hilfe.
Ist ein schwieriges Problem.

Also:

Wir sind eine Firma in einem businescenter und habe einen internetzugang über das Center. Wir haben eine eigene Statische IP und gehen aber über eine Company conncet verbindung ins netz. Was soviel heist wie, Alle büros in dem center gehen zwar über eine leitung ins netz haben aber einen eigenen router mit fester ip und kein anderes büro hat zugriff auf uns.

Wir haben hier einen mail server stehen der von einem externen Mailserver unsere Mails abruft. Versenden tut unser lokaler Mailserver direkt. Also haben wir auch keine offenen ports nach ausen da wir ja direkt keine mails empfangen.

Das Problem ist jetzt:
Wir werden Ständig in allen möglich Spam datenbanken geblockt da angeblich lauter mails über unsere
ip versendet werden. Wie haben schon das gesamte netzwerk abgesucht und gescannt aber nicht gefunden. Und auch ein wechsel der Statischen Ipadresse hatte keinen erfolg.

Was kann jetzt noch sein?

Ich weis auch das alle spammails von einem exim server ausgehen. Da exim aber nur für linux ist und wir ausschließlich mit windows arbeiten ist das einen zusätzliche bestätigung für uns das es nicht aus dem lokalen netz kommt. Die sender Ip Adresse entspricht aber immer unserer statischen ip aus dem büro.

Content-ID: 40988

Url: https://administrator.de/forum/ewiges-spam-problem-aus-lokalem-netzwerk-40988.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Brandse
Brandse 27.09.2006 um 13:38:58 Uhr
Goto Top
Hi,

also die Mails selber an andere SMTP Server zu senden, von einer IP Adresse die nicht zum MX Eintrag passt, ist unprofessionell, und führt zu Einträgen auf Spamlisten.

Es sei denn, Dein Mailserver schickt die Mails erst zu seinem Mailserver, wo er die Mails abholt. In dem Fall habe ich nichts gesagt.

Gugg doch mal den Header einer solchen Mail an.
Dort wirst Du sicher einen Rechnernamen oder ne IP Adresse finden.
Diesen Rechner dann entseuchen, entwurmen, ud am besten mit Spy Bot nochmal sterilisieren.

Meist es es ein Wurm...

Achja, das Du die Mails nicht einliefern lässt, sondern abholst, heisst nicht, das von aussen keine Ports offen sind.

Gruß,
Brandse
hanswurscht
hanswurscht 27.09.2006 um 14:39:17 Uhr
Goto Top
Grüß Dich,

Das ihr als "Spammer" gelistet seid, kann auch einfach an eurem Provider liegen.
Vielen IP-Adressen bzw. ganze Adressbereiche der Telekom oder auch anderer großer Anbieter sind als Spammer auf den Black-Lists gelistet. Somit bringt Dir der Wechsel der IP nicht soviel. Auch wirst Du bei den Listenbetreibern keine Chance haben, dass Deine IP gelöscht wird.

Um das Problem zu lösen, solltest Du ein SMTP-Relay als Ausgangsserver verwenden. Dieses bieten oft die Provider an. Somit sollte das Problem gelöst sein, sofern Ihr kein internes Problem mit Viren, Würmern oder ähnlichem habt.

Gruß
Hanswurscht
Speezy
Speezy 27.09.2006 um 14:42:39 Uhr
Goto Top
Also.

Ja das das direkte senden zu rinträgen führ ist mir klar. Aber darum geht es leider nicht. Es werden wirklich SPAM mails verschickt.
Bei einer Spam blackliste kann mann sich die emails ansehen die gemeldet wurden.

Hier mal einer der Header:
From envycxw@fergerson.com Sat Sep 16 08:37:48 2006
Delivery-date: Sat, 16 Sep 2006 08:37:48 -0400
Received: from [123.456.789.012] (helo=[123.456.789.012])
by angband.surriel.com with esmtp (Exim 4.43)
id 1GOZQa-000790-23
for victim@smtp.example; Sat, 16 Sep 2006 08:37:48 -0400
From:   "Tracy Guest" <envycxw@fergerson.com>  
To: victim@smtp.example
Subject: HipHop RB Soul
Date:   Sat, 16 Sep 2006 14:36:38 -0200
MIME-Version: 1.0
type="multipart/alternative";  

Ich habe die IP Adresse aus Datenschutzgründen geändert.
Aber es ist die Statische IP die uns zugewiesen wurde. Keine Lokale.
Somit fällt es leider weg das eines unserer systeme infiziert ist.
Auserdem kenn ich kein spamtool das einen Exim server enthält.

Nur zur weiteren info. Die neue Ip war bis wir sie bekommen haben sauber.
Und es werden sehr viele mails pro tag von unserer ip aufgefangen. Wobei dann wohl die möglichkeit wegfällt das einfach nur die ip geblockt ist weil mal was war.
Wir delisten uns auch ständig aber des hält nur kurz an. Bis wieder mails in die Spamfalle gehen.

Aber danke schon mal für die hilfe.
Speezy
Speezy 27.09.2006 um 14:49:40 Uhr
Goto Top
Hier mal die letzte gemeldete Spammail

From giqawmu@erlc.com Tue Sep 26 16:55:55 2006
Delivery-date: Tue, 26 Sep 2006 16:55:55 -0400
Received: from [123.456.789.012] (helo=[123.456.789.012])  ** !!! IP GEÄNDERT !!! **
by angband.surriel.com with esmtp (Exim 4.43)
id 1GSJy7-00081A-69
for victim@smtp.example; Tue, 26 Sep 2006 16:55:55 -0400
From:   "try" <giqawmu@erlc.com>  
To: victim@smtp.example
Subject: can try
Date:   Tue, 26 Sep 2006 22:54:47 -0200
MIME-Version: 1.0
type="multipart/alternative";  

------=_NextPart_000_000B_01C6E1BE.C4153D80


------=_NextPart_001_000C_01C6E1BE.C4153D80
charset="windows-1250"  


oogle Groups Home Help Sign in Web Images VideoNew News Maps more raquo =
Advanced Search Members: users: Join Alerts Create new group About =
Searched all groups Your search did not match any Make sure words are =
spelled Try different keywords. general fewer your on can try Answers =
for expert help with search. Get the latest messages emailed
Members: users: Join Alerts Create new group About Searched all groups =
Your search did not match
Home Help Sign in Web Images VideoNew News Maps more raquo Advanced =
Search Members: users: Join Alerts Create new group About Searched all =
groups Your search did not match any Make sure words are spelled Try =
different keywords. general fewer your on can try Answers for expert =
help with search. Get the latest messages emailed to Alerts. Terms of
Sign in Web Images VideoNew News Maps more raquo Advanced Search =
Members: users: Join Alerts Create new group About Searched all groups =
Your search did not match any Make sure words are spelled Try different =
keywords. general fewer your on can try Answers for expert help with =
search. Get the latest
are spelled Try different keywords. general fewer your on can
About Searched all groups Your search did not match any Make sure words =
are spelled Try different keywords. general fewer your on can try =
Answers for expert help with search. Get the latest messages emailed to =
Alerts. Terms
can try Answers for
------=_NextPart_001_000C_01C6E1BE.C4153D80
charset="windows-1250"  

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">  
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =  
charset=3Dwindows-1250">  
<META content=3D"MSHTML 6.00.2900.2963" name=3DGENERATOR>  
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV align=3Dcenter><IMG alt=3D"" hspace=3D0=20  
src=3D"cid:000a01c6e1ae$008c6d80$eb5e6ed9@mailserver" =  
align=3Dbaseline=20
border=3D0></DIV>
<DIV align=3Dcenter><FONT face=3DArial size=3D2></FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>oogle Groups Home Help Sign in Web Images VideoNew News Maps =
more raquo Advanced Search Members: users: Join Alerts Create new group =
About Searched all groups Your search did not match any Make sure words =
are spelled Try different keywords. general fewer your on can try =
Answers for expert help with search. Get the latest messages =
emailed</FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>Members: users: Join Alerts Create new group About Searched all =
groups Your search did not match</FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>Home Help Sign in Web Images VideoNew News Maps more raquo =
Advanced Search Members: users: Join Alerts Create new group About =
Searched all groups Your search did not match any Make sure words are =
spelled Try different keywords. general fewer your on can try Answers =
for expert help with search. Get the latest messages emailed to Alerts. =
Terms of</FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>Sign in Web Images VideoNew News Maps more raquo Advanced =
Search Members: users: Join Alerts Create new group About Searched all =
groups Your search did not match any Make sure words are spelled Try =
different keywords. general fewer your on can try Answers for expert =
help with search. Get the latest</FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>are spelled Try different keywords. general fewer your on =
can</FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>About Searched all groups Your search did not match any Make =
sure words are spelled Try different keywords. general fewer your on can =
try Answers for expert help with search. Get the latest messages emailed =
to Alerts. Terms</FONT></DIV>
<DIV align=3Dleft><FONT face=3DArial =3D
size=3D2>can try Answers for</FONT></DIV>
</BODY></HTML>

------=_NextPart_001_000C_01C6E1BE.C4153D80--

------=_NextPart_000_000B_01C6E1BE.C4153D80
name="raquo.gif"  
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###uqs4tGyeZfO/oqlXJqSgbks0Cu+eW5307r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33425
33425 27.09.2006 um 16:37:55 Uhr
Goto Top
Block mal den Port 25 in deinem Router außer für euren Mailserver. Wenn es geht aktivierst du noch eine Logging Funktion im Router. Anhand der Logs müßtest du dann die Spam Schleuder über die IP erkennen können.

Ich hatte den Vorfall auch mal bei einem Kunden. Schuld war nachher ein externer PC der sich per VPN in das Netzwerk eingewählt hatte um auf dem Terminalserver zu arbeiten. Dieser PC hatte keinen Virenscanner, dafür aber etliche Viren und sonstige bösen Progrämmchen drauf.

Viel Erfolg
Schnitzelchen
Speezy
Speezy 27.09.2006 um 16:49:55 Uhr
Goto Top
Also Port 25 ist standartmäsig geblockt. Hab auch schon nen portscan von aussen gemacht aber da war alles in ordnung, alle ports sind dicht. Können leider kein logging machen da der router diese funktion nicht unterstütz.
33425
33425 27.09.2006 um 17:05:52 Uhr
Goto Top
Pech gehabt.

Dann hast du einen Router der für den privaten Bereich gedacht ist und nicht für den Office Bereich. Ordentliche Produkte gibt es z.B. von Lancom und Bintec. Router die diese Funktion bieten gibt es preiswert von Linksys und Draytek (imho auch eher für Privat statt Office geeignet)

Ein Portscan auf Port 25 bringt übrigens nichts, da der Spam PC keine Mails empfängt sondern nur versendet!!!

Vielleicht solltest du mal McAfee VirusScan als Trial herunterladen. Der bietet die per Default eine Port 25 Sperre. Was sagt eigentlich euer Virenscanner?

mfg
Schnitzelchen
Speezy
Speezy 27.09.2006 um 17:11:13 Uhr
Goto Top
Also nochmal.

Wie mann im header gut rauslesen kann werden die mails über einen exim mail server versendet.
Dieser ist nicht für windows verfügbar! Wir nutzen allerdings nur Windows maschienen.

Anivirensoftware ist auf allen rechnern und auch aktuell. Desweiteren haben wir einen extra Gatewayserver mit Firewall und Mailscan und AV der spätestens dann anspringen würde.

Also danke für den TIP aber unsere Rechner sind definitiv Clean.

Auserdem kann ich mir nicht aussuchen welchen router wir verwenden weil der dem Businescenter gehört.
33425
33425 27.09.2006 um 17:17:00 Uhr
Goto Top
Die Absender/Server Informationen (exim...) kann man fälschen.

Die Lösung von Hanswurst solltest du dir nochmal durchlesen mit dem Mail-Relay. Ist auf jedenfall angebracht.

mfg
Schnitzelchen

PS: Ich mache jetzt Feierabend face-smile
Speezy
Speezy 27.09.2006 um 17:28:03 Uhr
Goto Top
Ich verstehe das das wohl eine der besten lösungen ist.
Aber leider ist das nicht möglich. Der externe sever packt des leider nicht, ist zu überlastet.

Wünsch dir nen schönen Feierabend.
Speezy
Speezy 29.09.2006 um 12:05:54 Uhr
Goto Top
Hat keiner mehr ne idee?

Brauch wirklich hilfe dabei.....