gelöst Exchange 2003 SMTP Connector sendet SPAM
Hallo zusammen,
ich habe ein Problem das über den SMTP Connector von einem SBS 2003 mit Exchange Spammail versendet wird.
Ich habe die SMTP Warteschlange gestoppt und sehe nun wie sie komplett voll läuft weil irgendwer mails über den Connector senden will.
Ich habe schon alle Passwörter geändert und komplette Virenscans durchgeführt, leider ohne Ergebnis.
Aktuell sind 37.000 Mails in der Warteschlange. Mir sind bis jetzt zwei verschiedene Adressen aufgefallen welche versuchen zu versenden.
1. carrer@jobs.kroger.com
2. hire@jobs.kroger.com
Der Spam wird an alle möglichen externen Emailadressen versendet.
Kann ich irgendwo festlegen das diese komplette Domain nicht über den SMTP Connector auf dem Exchange senden dürfen?
Ja ich weiß der Support vom SBS2003 ist ausgelaufen. Aber auch nach mehreren Versuchen den Kunden von einem neuen Server zu überzeugen, bezüglich sicherheit, support etc. wird kein Geld für eine neuanschaffung bereitgestellt.
ich habe ein Problem das über den SMTP Connector von einem SBS 2003 mit Exchange Spammail versendet wird.
Ich habe die SMTP Warteschlange gestoppt und sehe nun wie sie komplett voll läuft weil irgendwer mails über den Connector senden will.
Ich habe schon alle Passwörter geändert und komplette Virenscans durchgeführt, leider ohne Ergebnis.
Aktuell sind 37.000 Mails in der Warteschlange. Mir sind bis jetzt zwei verschiedene Adressen aufgefallen welche versuchen zu versenden.
1. carrer@jobs.kroger.com
2. hire@jobs.kroger.com
Der Spam wird an alle möglichen externen Emailadressen versendet.
Kann ich irgendwo festlegen das diese komplette Domain nicht über den SMTP Connector auf dem Exchange senden dürfen?
Ja ich weiß der Support vom SBS2003 ist ausgelaufen. Aber auch nach mehreren Versuchen den Kunden von einem neuen Server zu überzeugen, bezüglich sicherheit, support etc. wird kein Geld für eine neuanschaffung bereitgestellt.
11 Antworten
- LÖSUNG SlainteMhath schreibt am 23.01.2018 um 09:48:23 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 12:51:51 Uhr
- LÖSUNG vBurak schreibt am 23.01.2018 um 13:11:06 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 13:31:58 Uhr
- LÖSUNG SlainteMhath schreibt am 23.01.2018 um 13:44:32 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 13:50:50 Uhr
- LÖSUNG SlainteMhath schreibt am 23.01.2018 um 13:58:52 Uhr
- LÖSUNG Philbo69 schreibt am 29.01.2018 um 14:07:17 Uhr
- LÖSUNG SlainteMhath schreibt am 29.01.2018 um 15:05:06 Uhr
- LÖSUNG Philbo69 schreibt am 29.01.2018 um 14:07:17 Uhr
- LÖSUNG SlainteMhath schreibt am 23.01.2018 um 13:58:52 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 13:50:50 Uhr
- LÖSUNG SlainteMhath schreibt am 23.01.2018 um 13:44:32 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 13:31:58 Uhr
- LÖSUNG SlainteMhath schreibt am 23.01.2018 um 13:25:30 Uhr
- LÖSUNG vBurak schreibt am 23.01.2018 um 13:11:06 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 12:51:51 Uhr
- LÖSUNG Philbo69 schreibt am 23.01.2018 um 13:47:21 Uhr
LÖSUNG 23.01.2018, aktualisiert um 09:50 Uhr
Moin,
ist dein Exchange evtl. als offenes Relay konfiguriert? Ürüf den mal mit mxtoolbox.com
lg,
Slainte
PS UNd wird mal einen Blick ins SMTP-Log, damit du mal rausfindest wo die Mails herkommen
PPS: oder wirf mal netstat und/oder Wireshark an...
ist dein Exchange evtl. als offenes Relay konfiguriert? Ürüf den mal mit mxtoolbox.com
lg,
Slainte
PS UNd wird mal einen Blick ins SMTP-Log, damit du mal rausfindest wo die Mails herkommen
PPS: oder wirf mal netstat und/oder Wireshark an...
LÖSUNG 23.01.2018 um 12:51 Uhr
Leider kann ich die Seite mxtoolbox.com nicht aufrufen. Der Internt explorer spinnt da und auch Mozilla oder andere Browser konnte ich aufgrund von Fehlern nicht installieren.
Wir haben schon alle Geräte im Netz heruntergefahren und nur den SBS angelassen, trotzdem wurden die SPAM mails erzeugt.
Aktuell laufen keine Mails mehr in die Warteschlange, aber ich habe keine Ahnung wiese, da ich noch nichts an den Einstellungen geändert habe.
Kann ich irgendwo festlegen das diese komplette Domain nicht über den SMTP Connector auf dem Exchange senden dürfen?
Wir haben schon alle Geräte im Netz heruntergefahren und nur den SBS angelassen, trotzdem wurden die SPAM mails erzeugt.
Aktuell laufen keine Mails mehr in die Warteschlange, aber ich habe keine Ahnung wiese, da ich noch nichts an den Einstellungen geändert habe.
Kann ich irgendwo festlegen das diese komplette Domain nicht über den SMTP Connector auf dem Exchange senden dürfen?
LÖSUNG 23.01.2018, aktualisiert um 13:11 Uhr
Entweder ein Open Relay oder ein Rechner schickt unbemerkt die Emails darüber hinaus.
Da ihr über 1und1 wohl als Smarthost verwendet, empfängt ihr Emails wohl auch nicht über Port 25 sondern über POP3-Konnektor? Ist Port 25 in der Firewall offen und geht das an den MX Server? Wenn ja, dann kann das gut ein Open Relay sein, wenn nein, dann kann das nur vom internen Netzwerk kommen.
Start doch einfach mal Putty oder Telnet auf dem Server und schick ne Nachricht mit einem fremden Absender an einen fremden Empfänger:
telnet servername 25
HELO
MAIL FROM: mail@fremdedomain.de
RCPT TO: mail2@fremdedomain2.de
Wenn jetzt ein 250 OK kommt, dann darf der Server Emails ohne Authentifizierung vom internen Netzwerk schicken. Dann ist irgendein Rechner verseucht.
Da ihr über 1und1 wohl als Smarthost verwendet, empfängt ihr Emails wohl auch nicht über Port 25 sondern über POP3-Konnektor? Ist Port 25 in der Firewall offen und geht das an den MX Server? Wenn ja, dann kann das gut ein Open Relay sein, wenn nein, dann kann das nur vom internen Netzwerk kommen.
Start doch einfach mal Putty oder Telnet auf dem Server und schick ne Nachricht mit einem fremden Absender an einen fremden Empfänger:
telnet servername 25
HELO
MAIL FROM: mail@fremdedomain.de
RCPT TO: mail2@fremdedomain2.de
Wenn jetzt ein 250 OK kommt, dann darf der Server Emails ohne Authentifizierung vom internen Netzwerk schicken. Dann ist irgendein Rechner verseucht.
LÖSUNG 23.01.2018 um 13:25 Uhr
Leider kann ich die Seite mxtoolbox.com nicht aufrufen. Der Internt explorer spinnt da und auch Mozilla oder andere Browser konnte ich aufgrund von Fehlern nicht installieren
Kann es sein das du ein größeres Problem hast?
LÖSUNG 23.01.2018 um 13:31 Uhr
Ergebnis:
250 mail.eigenedomain.com Hello [Server-IP]
250 2.1.0: mail@fremdedomain.de....Sender OK
250 2.1.5: mail2@fremdedomain2.de
250 mail.eigenedomain.com Hello [Server-IP]
250 2.1.0: mail@fremdedomain.de....Sender OK
250 2.1.5: mail2@fremdedomain2.de
LÖSUNG 23.01.2018 um 13:44 Uhr
... Dann ist irgendein Rechner verseucht. ...
Dann wirf doch endlich mal den Wireshark oder zumindest netstat -a an, damit du siehst was/wer sich alles von intern mit der Kiste verbindet. Wenn alles nichts hilft, hol dir fachkundige Hilfe von einem SystemhausLÖSUNG 23.01.2018 um 13:47 Uhr
Ich habe mal das SMTP Log ausgelesen und ich habe keine Ahnung was judytardy.example.com für ein Servername ist.
Die anderen Emailadresse kenne ich auch alle nicht.
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 EHLO - +judytardy.example.com 250 0 317 26 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 MAIL - +FROM:<hire@jobs.kroger.com> 250 0 45 32 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<mishym@hotmail.com> 250 0 31 28 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<idic411@aol.com> 250 0 28 25 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<stealie63151@sbcglobal.net> 250 0 39 36 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<kate0812@hotmail.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:28 91.200.12.202 User SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 QUIT - User 240 5407 76 10 5250 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<rfgd50a@msn.com> 250 0 28 25 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<stanleyj@worldnet.att.net> 250 0 38 35 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<dmsmith756@charter.net> 250 0 35 32 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<mambobirrell@aol.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<amaokida@hotmail.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:29 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 RCPT - +TO:<kvstubs@aol.com> 250 0 28 25 0 SMTP - - - - -l.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:34 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 RCPT - +TO:<fcworthy@comcast.net> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:34 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 DATA - +<7376C093984C62C11D1851EDF9408F40@judytardy.example.com> 250 0 140 12792 578 SMTP - - - -
2018-01-22 18:32:34 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 QUIT - judytardy.example.com 240 6484 73 4 0 SMTP - - -
Die anderen Emailadresse kenne ich auch alle nicht.
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 EHLO - +judytardy.example.com 250 0 317 26 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 MAIL - +FROM:<hire@jobs.kroger.com> 250 0 45 32 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<mishym@hotmail.com> 250 0 31 28 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<idic411@aol.com> 250 0 28 25 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<stealie63151@sbcglobal.net> 250 0 39 36 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<kate0812@hotmail.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:28 91.200.12.202 User SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 QUIT - User 240 5407 76 10 5250 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<rfgd50a@msn.com> 250 0 28 25 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<stanleyj@worldnet.att.net> 250 0 38 35 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<dmsmith756@charter.net> 250 0 35 32 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<mambobirrell@aol.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:28 91.200.14.160 judytardy.example.com SMTPSVC1 SERVERNAMESBS 192.168.0.4 0 RCPT - +TO:<amaokida@hotmail.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:29 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 RCPT - +TO:<kvstubs@aol.com> 250 0 28 25 0 SMTP - - - - -l.com> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:34 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 RCPT - +TO:<fcworthy@comcast.net> 250 0 33 30 0 SMTP - - - -
2018-01-22 18:32:34 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 DATA - +<7376C093984C62C11D1851EDF9408F40@judytardy.example.com> 250 0 140 12792 578 SMTP - - - -
2018-01-22 18:32:34 91.200.14.160 judytardy.example.com SMTPSVC1 MOSPDC00 192.168.0.4 0 QUIT - judytardy.example.com 240 6484 73 4 0 SMTP - - -
LÖSUNG 23.01.2018, aktualisiert um 13:54 Uhr
Habe mal ein netstat -a gemacht.
Einige stehen auf Hergestellt andere auf Wartend.
Jede Sekunde kommt eine Antwort:
TCP ServernameSBS:23141 mail.eigenedomain.com:ldap HERGESTELLT
TCP ServernameSBS:23172 mail.eigenedomain.com:ldap HERGESTELLT
TCP ServernameSBS:23173 mail.eigenedomain.com:ldap HERGESTELLT
TCP ServernameSBS:1074 mail.eigenedomain.com:1149 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1150 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1151 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1152 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1153 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1154 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1155 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1156 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1157 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1158 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1159 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1160 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1161 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1162 WARTEND
Einige stehen auf Hergestellt andere auf Wartend.
Jede Sekunde kommt eine Antwort:
TCP ServernameSBS:23141 mail.eigenedomain.com:ldap HERGESTELLT
TCP ServernameSBS:23172 mail.eigenedomain.com:ldap HERGESTELLT
TCP ServernameSBS:23173 mail.eigenedomain.com:ldap HERGESTELLT
TCP ServernameSBS:1074 mail.eigenedomain.com:1149 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1150 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1151 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1152 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1153 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1154 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1155 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1156 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1157 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1158 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1159 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1160 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1161 WARTEND
TCP ServernameSBS:1074 mail.eigenedomain.com:1162 WARTEND
LÖSUNG 23.01.2018 um 13:58 Uhr
Alle deine Verbindungen kommen von 91.200.14.160:
Sieht für mich so aus, als betreibst du ein offenes Relay. der Server muss sofort vom Netz! Am besten du blockierst den eingehende Port 25 an deiner Firewall bis das Problem behoben ist.
inetnum: 91.200.12.0 - 91.200.15.255
netname: GLUBINA-NET
descr: PP "SKS-Lugan"
org: ORG-TA289-RIPE
remarks: **************
remarks: Spam, Hacking, Security
remarks: **************
country: UA
admin-c: NASA-RIPE
tech-c: DVC31-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: GLUBINA-MNT
mnt-routes: GLUBINA-MNT
mnt-domains: GLUBINA-MNT
source: RIPE # Filtered
organisation: ORG-TA289-RIPE
org-name: PP "SKS-Lugan"
org-type: OTHER
address: Lenina st. 51/27
address: Ukraine, 94214 AlchevskLÖSUNG 29.01.2018 um 14:07 Uhr
Das Problem ist nun behoben. Habe alles auf POP3 Abruf eingestellt und rufe jetzt über den POP Connector beim Provider ab.
Trotzdem meine Frage noch, wäre es nicht mögich dem SMTP Connector zu sagen das nur die @eigenedomain.de senden darf?
Trotzdem meine Frage noch, wäre es nicht mögich dem SMTP Connector zu sagen das nur die @eigenedomain.de senden darf?
LÖSUNG 29.01.2018 um 15:05 Uhr
das nur die @eigenedomain.de senden darf?
Nein so funktioniert das nicht. Du musst dem Exchange "sagen" das er nur Mails von authentifizierten clients an Ziele ausserhalb der von ihm selbst gemanagten Domains senden darf.Ist aber schon ne Weile her das ich vor einem 2003er Exchange saß... vielleicht kann die Google helfen. Stichworte: Open Relay Exchange 2003
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
- GPO Programme an User verteilen6
- Problem: kein Zugriff auf lokales LAN bei WireGuard VPN mit GL.iNet GL-MV100ume und FritzBox
- Mit Powershell zwei Prozesse mit gleichem Prozessname und unterschiedlichen Parameter überprüfen und ggf. erneut starten6
- Dateinamen vorne abschneiden7
- Pfsense nach täglichem Reconnect keine IPv6 Verbindung mehr möglich3
- IP tables bei LANCOM-Router VPN4
- Mehrere Powershell-Versionen in Visual-Studio C-Sharp CmdLet-Project unterstützen3
- Msc-Datei trotz Administratorenrechte direkt (ohne UAC-Abfrage) öffnen1
- LED Lüfter und LED LEiste dunkel beim einloggen11
- W10 Client unbenutzt in standby ständig startet und geht wieder offline4
- Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten
- Liste ungeschützter Pulse-VPN-Server veröffentlicht
- Windows Defender verhindert Telemetrieblocking via hosts-Datei2
- Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen2
- Microsoft Advanced Threat Protection for Linux
- ! ! Today ist SysAdmin-Day ! !5
- Basic Authentication and Exchange Online
- Wenn die Cloud geklaut (oder einfach nur abgeschaltet) wurde10
- Cisco mal wieder
- Devices deprecated and unsupported in ESXi 7.0 (77304)5
- PHP Softwareentwickler/ Informatiker (m/w/d) IT/ JavaScript
- IT Kundensupport (m/w/d) Java/ Softwareentwicklung
- Senior Java Entwickler (m/w/divers) IT-Management/ Support
- Trainee Java Entwickler (m/w/d)
- Projektmanager (m/w/d) IT Management/Scrum/Kundenservice
- SAP Fiori Entwickler (m/w/d) IT/ Informatik
- Field Application Engineer (FAE) (m/w/d) IT-Support/ IT Specialist/ Java
- Backend Developer (m/w/d)
- Java Webentwickler (m/w/d) IT/ Informatik
- Softwareentwickler / Web Development / Informatik (m/w/d)
