Exchange 2003 wird von Spammern missbraucht!
Exchange 2003 wird von Spammern missbraucht!
Hallo Jungs,
habe hier ein ernstes Problem, irgendjemand missbraucht unseren Exchange 2003 zum spammen. Firewall hab ich Port 25 dicht gemacht, aber es kommen immer weiter noch Spams die über unseren Exchange verschickt werden.
Aktuellen Virendefinitionen und Virenscan haben ebenfalls kein Ergebnis gebracht. Habe jetzt als letzte Lösung den Exchange heruntergefahren. Wie kann ich herausfinden woher die Mails kommen und wie kann ich die wo noch in der Queue stehen löschen?
Bin für jeden Tipp dankbar.
Gruß Maik
Hallo Jungs,
habe hier ein ernstes Problem, irgendjemand missbraucht unseren Exchange 2003 zum spammen. Firewall hab ich Port 25 dicht gemacht, aber es kommen immer weiter noch Spams die über unseren Exchange verschickt werden.
Aktuellen Virendefinitionen und Virenscan haben ebenfalls kein Ergebnis gebracht. Habe jetzt als letzte Lösung den Exchange heruntergefahren. Wie kann ich herausfinden woher die Mails kommen und wie kann ich die wo noch in der Queue stehen löschen?
Bin für jeden Tipp dankbar.
Gruß Maik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 9560
Url: https://administrator.de/forum/exchange-2003-wird-von-spammern-missbraucht-9560.html
Ausgedruckt am: 25.12.2024 um 01:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
den Exchange herunterfahren ist eine Sache, um dem ganzen aus demWeg zu gehen.
Ist jedoch nicht ganz so praktikabel.
Du hast die Möglichkeit beim Exchange 2003 festzulegen, wer über Deinen Server senden darf und wer nicht.
Und zwar findest Du die Einstellung bei den konfigurierten SMTP-Connectoren.
Hier wäre es wichtig, dass Du folgendes konfigurierst:
Nur Authentifizierte User dürfen über diesen Server senden.
Keinen Anonymous Zugriff gestatten oder senden ohne Anmeldung !
Sollte die Einstellung schon bestehen, so sieht es nach einem "Angriff" von innen aus.
D.h. einer Deiner Client-PC's sendet den Müll unter einem authentifizierten Account.
Sorge dafür, dass alle User den Outlook-Client geschlossen haben und sich keiner neu am Exchange von ausserhalb anmeldet.
Fahre den Server wieder hoch und deaktiviere erst einmal den/die SMTP-Connector/en.
Somit geht erst einmal nichts mehr raus, doch der Server nimmt locker flockig noch mails von aussen an.
Dann schaust Du Dir die Einstellung der SMTP-Connectoren in Ruhe an.
Prüfe die Konfiguration wie o.g. .
Schaue Dir die Mailboxen an und prüfe, ob es neue Anmeldungen gibt.
Evtl. kannst Du hierüber den internen Account herausfinden, der den Schaden anrichtet.
Dann schau Dir die IP-Verbindungen zum Server an, hiermit kannst Du auch den Client lokalisieren, der zum User passt.
Fahre diesen User-PC herunter. Schau nach ob die externe Mail-Queue noch weiter ansteigt.
Wenn nein, glück gehabt, Bösewicht gefunden.
Wenn ja, auf gleicher Weise weiter suchen.
Evtl. hat sich ein Wurm / Virus schon ein wenig verbreitet.
Hoffe, der Schnellschuß hilft Dir.
MfG
Donnerwetter
den Exchange herunterfahren ist eine Sache, um dem ganzen aus demWeg zu gehen.
Ist jedoch nicht ganz so praktikabel.
Du hast die Möglichkeit beim Exchange 2003 festzulegen, wer über Deinen Server senden darf und wer nicht.
Und zwar findest Du die Einstellung bei den konfigurierten SMTP-Connectoren.
Hier wäre es wichtig, dass Du folgendes konfigurierst:
Nur Authentifizierte User dürfen über diesen Server senden.
Keinen Anonymous Zugriff gestatten oder senden ohne Anmeldung !
Sollte die Einstellung schon bestehen, so sieht es nach einem "Angriff" von innen aus.
D.h. einer Deiner Client-PC's sendet den Müll unter einem authentifizierten Account.
Sorge dafür, dass alle User den Outlook-Client geschlossen haben und sich keiner neu am Exchange von ausserhalb anmeldet.
Fahre den Server wieder hoch und deaktiviere erst einmal den/die SMTP-Connector/en.
Somit geht erst einmal nichts mehr raus, doch der Server nimmt locker flockig noch mails von aussen an.
Dann schaust Du Dir die Einstellung der SMTP-Connectoren in Ruhe an.
Prüfe die Konfiguration wie o.g. .
Schaue Dir die Mailboxen an und prüfe, ob es neue Anmeldungen gibt.
Evtl. kannst Du hierüber den internen Account herausfinden, der den Schaden anrichtet.
Dann schau Dir die IP-Verbindungen zum Server an, hiermit kannst Du auch den Client lokalisieren, der zum User passt.
Fahre diesen User-PC herunter. Schau nach ob die externe Mail-Queue noch weiter ansteigt.
Wenn nein, glück gehabt, Bösewicht gefunden.
Wenn ja, auf gleicher Weise weiter suchen.
Evtl. hat sich ein Wurm / Virus schon ein wenig verbreitet.
Hoffe, der Schnellschuß hilft Dir.
MfG
Donnerwetter
Hallo,
wie sieht es mit den anderen Servern aus, sind die clean?
Hast Du mal geschaut, welche IP-Verbindungen noch zum MailServer bestehen?
Steigt die Queue noch an?
Kann evtl. Dein IIS missbraucht worden sein um Spams über den Exchange zu senden.
Prüfe bitte mal Eure PHP-Scripte. Vielleicht ist dort auch eines zu viel oder abgeändert.
Ich kann gerade nicht an unseren Exchange ran um zu schauen wie man an die Queue kommt.
Doch schau mal bitte unter http://www.msexchangefaq.de, dort wirst Du bestimmt einen Beitrag zur SMTP-Queue finden. Sorry.
MfG
Donnerwetter
wie sieht es mit den anderen Servern aus, sind die clean?
Hast Du mal geschaut, welche IP-Verbindungen noch zum MailServer bestehen?
Steigt die Queue noch an?
Kann evtl. Dein IIS missbraucht worden sein um Spams über den Exchange zu senden.
Prüfe bitte mal Eure PHP-Scripte. Vielleicht ist dort auch eines zu viel oder abgeändert.
Ich kann gerade nicht an unseren Exchange ran um zu schauen wie man an die Queue kommt.
Doch schau mal bitte unter http://www.msexchangefaq.de, dort wirst Du bestimmt einen Beitrag zur SMTP-Queue finden. Sorry.
MfG
Donnerwetter