rg2525
Goto Top

Exchange 2016 SMTP LOG

Hallo,
Jemand versucht bei mir per SMTP Verbindungsversuchen irgendwas anzustellen. Alle paar Minuten ein Versuch.
Ich habe das in Security LOGs gefunden. Dort steht aber keine IP Adresse woher das kommt. Ich brauche die IP Adresse.
Ich habe in EAC GUI alle Protokollierungen in Receive Connector eingeschaltet ich habe das Ganze Protokollverzeichniss nach versuchten Benutzernamen wie z.B. advertisement ode marc etc... gesucht aber nichts gefunden.
Wo kann ich mir die komplette SMTP Kommunikation ansehen? bzw. einschalten?
Danke
R.

Content-ID: 377615

Url: https://administrator.de/contentid/377615

Printed on: December 14, 2024 at 01:12 o'clock

certifiedit.net
certifiedit.net Jun 20, 2018 at 17:10:54 (UTC)
Goto Top
Hallo R,

na im Exchange Transport Receiver.

Aber woher weisst du, dass ein SMTP Verbindungsversuch was anstellen will, ich seh das als Grundrauschen.

...nebenfrage: Exchange ohne Proxy direkt am Netz...?


Viele Grüße,

Christian
RG2525
RG2525 Jun 20, 2018 at 18:04:07 (UTC)
Goto Top
Hallo Christian,

Danke für deine Antwort.

Die Protokollierung für Default Frontend Transport Receiver ist eingeschaltet.
Im gesamten Verzeichnis c:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs und in den Unterverzeichnissen habe ich gesucht aber nichts gefunden. Z.B. nach "James" wie im Beispiel unten.

Auf diesem Server kommt nur HTTPS (OWA/ActiveSync) und SMTP. Wenn ich mich mit einem falschen Benutzer am OWA anmelde, sehe ich alle Infos in Eventlog, die Ich brauche, habe ich ausprobiert. Bei den Meldungen, die ich in Security Eventlog sehe gibt es sonst keine Infos:
Ich habe kurzfristig die SMTP durch den Firewall auf Europa eingeschränkt und die Versuche haben aufgehört. Nur das kann ich so nicht lassen! Habe es wieder zurückgestellt.

Beispiel: Event ID: 4625
Event Description: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: james Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: Workstation Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted.

Die beiden Ports werden von einem UTM (Fortigate) aktiv geschützt. (Virtual IP) Nur dieser UTM kennt anscheinend SMTP Brute Force nicht und kann diese nicht unterbinden.

Danke nochmals
R.
certifiedit.net
certifiedit.net Jun 20, 2018 at 18:29:48 (UTC)
Goto Top
Hallo R,

bist du dir sicher, dass die Zugriffe überhaupt von extern kommen? Ggf. interne Fehlkonfiguration oder HostXY; welcher alte Cred. hat?

Alternativ, schau in die UTM, spätestens diese sollte die IPs anzeigen, der Exchange sollte die Externen IPs bei richtiger Konfiguration erst gar nicht sehen können.

Ansonsten kann ich dir nur anbieten mir die Konfiguration/Logs direkt vorzunehmen, dazu dann bitte eine PN.


Viele Grüße,

Christian
7Gizmo7
7Gizmo7 Jun 20, 2018 at 20:37:38 (UTC)
Goto Top
Hi,

das ist auch keine SMTP sondern OWA Anmeldung. Hast du die IIS Logs bemüht ?
Da du den Port 443 ins Internet stellst, kannst du nur mit IP-Blocking arbeiten.

MfG
RG2525
RG2525 Jun 22, 2018 at 17:54:12 (UTC)
Goto Top
Hi,
Ja. die IIS LOGs habe ich mir eigentlich ganz am Anfang angeschaut. Keine verdächtige Einträge. Habe mich ans OWA falsch angemeldet, der Eintrag war da, sonst keine. (Es ist eine kleine Umgebung)
Habe HTTPS Zugnag am UTM gestoppt, die Angriffe sind weitergegangen.
Erst als ich den SMTP Zugang am UTM gestoppt habe, war still. (Das kann ich mir aber nur kurze Zeit zum Testen leisten)
Der UTM Hersteller hat gesagt dass mitIPS diese Versuche abgefangen werden können. Ich kenne das von POP3 und IMAP.
(POP3.Login.Brute.Force, IMAP.Login.Brute.Force etc...)
Habe gerade jetzt entdeckt, dass ich sogar ein MS.OWA.Brute.Force Signatur habe face-smile
Es gibt sogar Telnet, SMB, RDP und Word Press Brute Force Attack Signaturen.
Ich finde nur die SMTP Brute Force Signatur nicht! Vielleicht heisst es anders. Werde weiter schauen und berichten.
Es gibt ein TLS.ROBOT.Attack > ich werde das ausprobieren
Danke für die Antwort.
R.
certifiedit.net
certifiedit.net Jun 22, 2018 at 17:57:04 (UTC)
Goto Top
Zitat von @7Gizmo7:

Hi,

das ist auch keine SMTP sondern OWA Anmeldung. Hast du die IIS Logs bemüht ?
Da du den Port 443 ins Internet stellst, kannst du nur mit IP-Blocking arbeiten.

MfG

Nein, wenn (u.a) Exchange Auth. auf SMTP liegt nicht unbedingt.


Viele Grüße,

Christian
certifiedit.net
certifiedit.net Jun 22, 2018 at 17:57:39 (UTC)
Goto Top
Wie gesagt, sicher, dass es nicht das Grundrauschen ist.

-> Was verleitet dich zur Annahme, dass es ein Angriffsversuch ist?


Viele Grüße,

Christian
7Gizmo7
7Gizmo7 Jun 22, 2018 at 19:53:48 (UTC)
Goto Top
HI,

Nein, wenn (u.a) Exchange Auth. auf SMTP liegt nicht unbedingt.


wäre der Connector mit Auth aber nicht ein anderer SMTP Port, der Standard Frontend ist mit Port 25 SMTP und anonymer Auth.
Und nur der hat er doch offen in der Firewall.


@RG2525 welche Auth sind denn aktiviert am Frondend SMTp Connector ? ..

Mfg
certifiedit.net
certifiedit.net Jun 22, 2018 at 19:59:35 (UTC)
Goto Top
Hi,

nein, nicht unbedingt, interessanterweise gibt es sogar die Möglichkeit anonym und auth. auf Port 25 zuzugreifen - zumindest lese ich die Doku so. Könnte RelayGründe haben (ohne Garantie.)


Viele Grüße,

Christian
RG2525
RG2525 Jun 22, 2018 at 21:11:18 (UTC)
Goto Top
Hallo Christian,

Sie versuchen alle 10 Minuten mit marketing, editor, service, office, admin, sales, jennifer etc... (um ein paar Beispiele jetzt zu nennen)

Was meinst du mit Grundrauschen?

Grüße
R.
RG2525
RG2525 Jun 22, 2018 at 21:17:49 (UTC)
Goto Top
Hi 7Gizmo7,

Default Einstellung (d.h. alle Auth sind aktiviert außer "Extern gesichert")

Grüße
R.
certifiedit.net
certifiedit.net Jun 22, 2018 at 21:30:53 (UTC)
Goto Top
Gibt es die Nutzer?

Soll ich dir einen Screenshot schicken, wie viele Anfragen Tag aus Tag ein an normalen Anschlüssen anklopfen?
RG2525
RG2525 Jun 23, 2018 at 14:35:48 (UTC)
Goto Top
Oh, verstehe.
Nein die Nutzer gibt es natürlich nicht!
Ich will halt nur alles mögliche unternehmen, um solche Angriffsversuche ins Leere zu führen...
Danke dann.
Ich werde kurz noch einmal mich melden und schreiben ob es mir gelungen ist sie zu stoppen...

Danke
R.
certifiedit.net
certifiedit.net Jun 23, 2018, updated at Jul 02, 2018 at 13:30:09 (UTC)
Goto Top
Nein die Nutzer gibt es natürlich nicht!

dann wäre ich ziemlich entspannt. Ein IPS scheint ja vorhanden zu sein.

Gern.

Viele Grüße,

Christian