Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange 2003 - offenes Relay, das keines ist...

Mitglied: Edi.Pfisterer

Edi.Pfisterer (Level 2) - Jetzt verbinden

08.08.2011, aktualisiert 16:22 Uhr, 4117 Aufrufe, 1 Kommentar

ich komme einfach nicht weiter - vielleicht hat jemand noch eine Idee, und ich sehe einfach den "Wald vor lauter Bäumen" nicht...

Hallo Jungs und Mädls!!!

Ausgangssituation:
Exchange 2003 SP2
Absenderfilter / Empfängerfilter / Verbindungsfilter / Absendererkennungsfilter / IMF werden angewendet
Verbindungsfilter sind ca. 10 im Einsatz (Spamcop, etc)


Problem:
die Warteschlange ist voll mit Mails, die von fremden Absendern stammen und an fremde Empfänger gesandt werden!!!

Hier ein Mail inkl. Header:
01.
Received: from User ([116.203.41.64] RDNS failed) by mail.hak-neusiedl.at with Microsoft SMTPSVC(6.0.3790.3959);
02.
	 Sun, 7 Aug 2011 22:27:30 +0200
03.
Reply-To: <mrsdemafahim6@yahoo.com.hk>
04.
From: "Mrs. Dema Fahim"<mrsdema5@yahoo.com.hk>
05.
Subject: PLEASE REPLY FAST
06.
Date: Mon, 8 Aug 2011 01:58:01 +0530
07.
MIME-Version: 1.0
08.
Content-Type: text/html;
09.
	charset="Windows-1251"
10.
Content-Transfer-Encoding: 7bit
11.
X-Priority: 3
12.
X-MSMail-Priority: Normal
13.
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
14.
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
15.
X-Antivirus: avast! (VPS 110807-1, 08/08/2011), Outbound message
16.
X-Antivirus-Status: Clean
17.
Bcc:
18.
Return-Path: mrsdema5@yahoo.com.hk
19.
Message-ID: <BHAKSVR2ZtWUW5I8ePB0000dbfd@mail.hak-neusiedl.at>
20.
X-OriginalArrivalTime: 07 Aug 2011 20:27:31.0048 (UTC) FILETIME=[6EB44E80:01CC5540]
21.

22.
<HTML><HEAD><TITLE></TITLE>
darauf hin generiert mein Postmaster folgende Antwort (diese Antwort gehört nicht zur oberen Mail, was die Analyse aber nicht erschweren sollte...):

01.
From: postmaster@akwi.at
02.
To: mrsdema5@yahoo.com.hk
03.
Date: Mon, 8 Aug 2011 11:01:25 +0200
04.
MIME-Version: 1.0
05.
Content-Type: multipart/report; report-type=delivery-status;
06.
	boundary="9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied"
07.
X-DSNContext: 7ac7e7f9 - 374 - 00000004 - C00402D1
08.
Message-ID: <cLebRVuDj000c14c5@mail.hak-neusiedl.at>
09.
Subject: Benachrichtigung  
10.
	zum  
11.
	=?unicode-1-1-utf-7?Q?+ANw-bermittlungsstatus  
12.
	(Verz+APY-gerung)?=
13.

14.
This is a MIME-formatted message.  
15.
Portions of this message may be unreadable without a MIME-capable mail program.
16.

17.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied
18.
Content-Type: text/plain; charset=unicode-1-1-utf-7
19.

20.
Dies ist eine automatisch erstellte Benachrichtigung +APw-ber den Zustellstatus.
21.

22.
DIES IST NUR EINE WARNUNG.
23.

24.
SIE M+ANw-SSEN DIE NACHRICHT NICHT ERNEUT SENDEN.
25.

26.
+ANw-bermittlung an folgende Empf+AOQ-nger wurde verz+APY-gert.
27.

28.
.... hier kommen die empfänger, an die die mail nicht zugestellt werden konnte ....
29.

30.

31.

32.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied
33.
Content-Type: message/delivery-status
34.

35.
Reporting-MTA: dns;mail.hak-neusiedl.at
36.
Received-From-MTA: dns;User
37.
Arrival-Date: Sun, 7 Aug 2011 22:50:22 +0200
38.

39.
Final-Recipient: rfc822;syz@blablabla.com
40.
Action: delayed
41.
Status: 4.4.7
42.
Will-Retry-Until: Mon, 8 Aug 2011 00:50:24 +0200
43.

44.
... hier kommt für jeden empfänger ein eintrag wie oben 
45.
Final-Recipient: rfc822;syz@blablabla.com
46.
Action: delayed
47.
Status: 4.4.7
48.
Will-Retry-Until: Mon, 8 Aug 2011 00:50:24 +0200
49.
........
50.

51.
--9B095B5ADSN=_01CC5217FA3B85AE000CB592mail.hak?neusied
52.
Content-Type: message/rfc822
53.

54.
Received: from User ([116.203.41.64] RDNS failed) by mail.hak-neusiedl.at with Microsoft SMTPSVC(6.0.3790.3959);
55.
	 Sun, 7 Aug 2011 22:50:22 +0200
56.
Reply-To: <mrsdemafahim6@yahoo.com.hk>
57.
From: "Mrs. Dema Fahim"<mrsdema5@yahoo.com.hk>
58.
Subject: PLEASE REPLY FAST
59.
Date: Mon, 8 Aug 2011 02:20:55 +0530
60.
MIME-Version: 1.0
61.
Content-Type: text/html;
62.
	charset="Windows-1251"
63.
Content-Transfer-Encoding: 7bit
64.
X-Priority: 3
65.
X-MSMail-Priority: Normal
66.
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
67.
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
68.
X-Antivirus: avast! (VPS 110807-1, 08/08/2011), Outbound message
69.
X-Antivirus-Status: Clean
70.
Bcc:
71.
Return-Path: mrsdema5@yahoo.com.hk
72.
Message-ID: <BHAKSVR2RkUufQ4eaU30000de4b@mail.hak-neusiedl.at>
73.
X-OriginalArrivalTime: 07 Aug 2011 20:50:23.0069 (UTC) FILETIME=[A07E18D0:01CC5543]
74.

75.
<HTML><HEAD><TITLE></TITLE>
76.
</HEAD>
77.
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5>
78.
<FONT size=2 color=#000000 face="Arial">
79.
<DIV>
80.
FROM: MRS. DEMA FAHIM</DIV>
81.
<DIV>
82.
REMITTANCE DIRECTOR;</DIV>
83.
<DIV>
84.
Arab National Bank; Saudi Arabia.</DIV>
85.
<DIV>
86.
RIYADH - KINGDOM OF SAUDI ARABIA.</DIV>
87.
<DIV>
88.
&nbsp;</DIV>
89.
<DIV>
90.
&nbsp;</DIV>
91.
<DIV>
92.
E-mail contact: mrsdema10@yahoo.de</DIV>
93.
<DIV>
94.
&nbsp;</DIV>
Was ich als Ursache ausschließen kann:

- Es liegt KEIN offenes Relay vor.
Dies weiss ich deshalb, da ich alles kontrolliert habe - außerdem meint auch http://verify.abuse.net/cgi-bin/relaytest -->

Relay test result
All tests performed, no relays accepted.

- die Mail stammt von keinem verseuchten System innerhalb der Organisation
Dies weiss ich deshalb, da die Versenderadresse (siehe oben: 116.203.41.64) nicht zu meiner Organisation gehört...
[eine Whois-Abfrage ergab, dass diese Adresse zu MUMBAI-MTSINDIA-IN gehört...]

was ich bisher unternommen habe:
die Postmaster-Meldungen abgedreht, was zumindest die Warteschlange verkürzt, die Absender geblockt... (das hilft aber nur, bis es ein anderer versucht...)
Ich finde einfach nicht heraus, wo die eigentliche Ursache für dieses Verhalten liegt...

FRAGE:
Wie finde ich heraus, mit welcher Kennung sich der Versender gegenüber dem AD authentifiziert hat?
Ich habe schon testhalber das Logging aktiviert, dieses File ist aber binnen Sekunden so groß, dass der Texteditor aufgibt beim öffnen....


vielleicht weiss ja jemand von Euch Rat, ich wäre für jede Idee dankbar!!!

lg
schöne Woche
Edi
Mitglied: Edi.Pfisterer
08.08.2011 um 15:45 Uhr
OK, klassisches Montagsproblem!

Es wurde ein User im AD eingerichtet (vor Jahren und NICHT VON MIR ), der einen einfachen Username (sprich ein englisches Wort) und ein mutmasslich einfach zu erratendes Passwort hatte...

jetzt muss dieser User mitsamt der Adresse des Exchange auf einer Liste-für-böse-Buben gelandet sein...
der Rest steht oben....

der betreffende User ist natürlich in der Ereignisanzeige verdächtig oft aufgetaucht unter ID 538 bzw. 540 im Zweig "Sicherheit"...

hätte mir selbst einfallen müssen - wenn nicht Montag wäre

schöne Woche nochmals,
lg

Edi
Bitte warten ..
Ähnliche Inhalte
Hardware
Unerklärliches Power Off
Frage von FollyxHardware20 Kommentare

Hallo zusammen, eine leidige Angelelgenheit plagt mich: Meine Workstation geht einfach aus. Als ob ich den Stecker ziehen würde. ...

Batch & Shell

Batch Datei: ECHO ist ausgeschaltet (OFF)

gelöst Frage von twicefaceBatch & Shell3 Kommentare

Guten Abend, ich habe mir aus diversen Beiträgen hier ein nützliches Script "zusammengeklaut". Es funktioniert wunderbar, nur bekomme ich ...

Exchange Server

Exchange 2013 off-site sichern

Frage von rickstinsonExchange Server4 Kommentare

Hallo, ich zerbreche mir schon seit längeren über die Offsite Sicherung unsers Exchange DAGs die Köpfe. Die DAG steht ...

E-Mail

Lokaler Relay-Server

Frage von eccos01E-Mail10 Kommentare

Hallo zusammen, ich will aus diversen Batch- / PowerShell-Skripten und einigen Tools Emails verschicken. Dabei habe ich aber folgende ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 13 StundenInternet2 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 17 StundenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 1 TagWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 1 TagSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs24 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell21 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...