mwurster
Goto Top

Exchange 2003 wird von Spammern missbraucht!

Exchange 2003 wird von Spammern missbraucht!

Hallo Jungs,
habe hier ein ernstes Problem, irgendjemand missbraucht unseren Exchange 2003 zum spammen. Firewall hab ich Port 25 dicht gemacht, aber es kommen immer weiter noch Spams die über unseren Exchange verschickt werden.

Aktuellen Virendefinitionen und Virenscan haben ebenfalls kein Ergebnis gebracht. Habe jetzt als letzte Lösung den Exchange heruntergefahren. Wie kann ich herausfinden woher die Mails kommen und wie kann ich die wo noch in der Queue stehen löschen?

Bin für jeden Tipp dankbar.

Gruß Maik

Content-ID: 9560

Url: https://administrator.de/forum/exchange-2003-wird-von-spammern-missbraucht-9560.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

Donnerwetter
Donnerwetter 17.04.2005 um 07:33:20 Uhr
Goto Top
Hallo,

den Exchange herunterfahren ist eine Sache, um dem ganzen aus demWeg zu gehen. face-smile

Ist jedoch nicht ganz so praktikabel.

Du hast die Möglichkeit beim Exchange 2003 festzulegen, wer über Deinen Server senden darf und wer nicht.

Und zwar findest Du die Einstellung bei den konfigurierten SMTP-Connectoren.
Hier wäre es wichtig, dass Du folgendes konfigurierst:

Nur Authentifizierte User dürfen über diesen Server senden.
Keinen Anonymous Zugriff gestatten oder senden ohne Anmeldung !

Sollte die Einstellung schon bestehen, so sieht es nach einem "Angriff" von innen aus.
D.h. einer Deiner Client-PC's sendet den Müll unter einem authentifizierten Account.


Sorge dafür, dass alle User den Outlook-Client geschlossen haben und sich keiner neu am Exchange von ausserhalb anmeldet.


Fahre den Server wieder hoch und deaktiviere erst einmal den/die SMTP-Connector/en.
Somit geht erst einmal nichts mehr raus, doch der Server nimmt locker flockig noch mails von aussen an.

Dann schaust Du Dir die Einstellung der SMTP-Connectoren in Ruhe an.
Prüfe die Konfiguration wie o.g. .

Schaue Dir die Mailboxen an und prüfe, ob es neue Anmeldungen gibt.
Evtl. kannst Du hierüber den internen Account herausfinden, der den Schaden anrichtet.
Dann schau Dir die IP-Verbindungen zum Server an, hiermit kannst Du auch den Client lokalisieren, der zum User passt.

Fahre diesen User-PC herunter. Schau nach ob die externe Mail-Queue noch weiter ansteigt.

Wenn nein, glück gehabt, Bösewicht gefunden.
Wenn ja, auf gleicher Weise weiter suchen.
Evtl. hat sich ein Wurm / Virus schon ein wenig verbreitet.


Hoffe, der Schnellschuß hilft Dir. face-smile

MfG

Donnerwetter
phpchris
phpchris 17.04.2005 um 09:34:18 Uhr
Goto Top
Auch ein Blick in die Header kann hilfreich sein:
Dann kannst du sehen, welchen Weg die E-Mail geht.

Wenn du Schwierigkeiten mit dem Header hast, poste ihn hier und wir schauen mal...
mwurster
mwurster 17.04.2005 um 18:04:01 Uhr
Goto Top
Hallo Jungs,
vielen Dank erstmal für eure Tips. Sämtliche Clients sind aus. Das ist ja das komische, also könnte es nur lokal direkt auf dem Server sein!?!

Kann ich denn irgendiwe die Mails, die in der Queue sind löschen? Ich mein da hängen jetzt noch 10000 Mails drin, die ich nicht unbedingt gerne versenden lassen würde.

Das "Problem" ist, ich habe auf dem selben Server noch einen IIS am laufen auf welchem unser Portal läuft und wo über die mail() function von PHP Mails versendet werden müssen. Aber da ich ja Port 25 auf der Firewall gesperrt ist, sollte es ja keinem möglich sein über unseren Mailserver mails versenden ausser lokal von diesem Mailserver aus.

Wäre super wenn mir jemand helfen könnte, gerne auch über Skype (maik.wurster) oder ICQ: 12278223

Danke vielmals im Voraus für die Hilfe!!!

Gruß Maik
Donnerwetter
Donnerwetter 17.04.2005 um 21:07:00 Uhr
Goto Top
Hallo,

wie sieht es mit den anderen Servern aus, sind die clean?

Hast Du mal geschaut, welche IP-Verbindungen noch zum MailServer bestehen?

Steigt die Queue noch an?

Kann evtl. Dein IIS missbraucht worden sein um Spams über den Exchange zu senden.

Prüfe bitte mal Eure PHP-Scripte. Vielleicht ist dort auch eines zu viel oder abgeändert.

Ich kann gerade nicht an unseren Exchange ran um zu schauen wie man an die Queue kommt.

Doch schau mal bitte unter http://www.msexchangefaq.de, dort wirst Du bestimmt einen Beitrag zur SMTP-Queue finden. Sorry.

MfG

Donnerwetter
mwurster
mwurster 17.04.2005 um 23:57:49 Uhr
Goto Top
Es bestehen keine Verbindungen mehr zu dem Server. Zumindest zeigt mir Netstat keine mehr an. Es scheint als würden die Mails "lokal" verschickt zu werden.

Die Queue steigt ständig noch an. Die PHP-Scripte schauen alle sauber aus. Das war auch mein erster Gedanke. Ich habe zwar gefunden wo man die Queue löscht, aber das brignt nicht arg viel, weil sie ja ständig wieder ansteigt.

Habe die aktuelle Version von Mc Afee Antivirus Enterprise Edition v8.0i sowie AdAware Prof. installiert, sowie GFI Mail Essentials. McAfee sowie AdAware sagen, dass das System clean wäre. Die Virendefinitionen sind up2date.

Irgendjemand noch eine Idee, wie ich diese Mails stoppen kann?

Gruß Maik
bos
bos 18.04.2005 um 10:39:46 Uhr
Goto Top
Hi,

Dein Probleme hatte ich auch schon, bei mir haben sich 2 Exchange Server 1000000 E-mails gegenseitg zugesandt, aber es gibt ein Patch

gucke dir mal KB 835734 an, das hat bis jetzt geholfen.


Mfg BOS