Exchange Server 2010 - Massive SPAM Problem
Hallo Leute..
hoffe ihr könnt mir schnell helfen.
Problem:
Exchange Server 2010 - SPAM Problem
Es werden viele Spam Mails Versendet.
Habe schon Exchange AntiSpam installiert und konfiguriert, aber leider keine Änderung!
Schaut auch mal bitte den ScreenShot an... wie kann ich die Mails stoppen..
Bitte um eure Hilfe danke
hoffe ihr könnt mir schnell helfen.
Problem:
Exchange Server 2010 - SPAM Problem
Es werden viele Spam Mails Versendet.
Habe schon Exchange AntiSpam installiert und konfiguriert, aber leider keine Änderung!
Schaut auch mal bitte den ScreenShot an... wie kann ich die Mails stoppen..
Bitte um eure Hilfe danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193998
Url: https://administrator.de/forum/exchange-server-2010-massive-spam-problem-193998.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
17 Kommentare
Neuester Kommentar
1. Server vom Netz nehmen - Freitag - Mailtransport kann vielleicht einen Tag ausgesetzt werden?
2. Firewall zum Raussenden (Port 25) blockieren lassen - testen - wieder reinnehmen - damit würde eingehender Verkehr noch laufen und man hätte noch länger am Wochenende Zeit?
3. erst dann Ursache bekämpfen: Client-Analyse?
2. Firewall zum Raussenden (Port 25) blockieren lassen - testen - wieder reinnehmen - damit würde eingehender Verkehr noch laufen und man hätte noch länger am Wochenende Zeit?
3. erst dann Ursache bekämpfen: Client-Analyse?
ersteinmal, ob vom Server selbst indem nun (hoffentlich) die Warteschlangen nicht mehr anwachsen?!
danach mit Wireshark - z.B. auf dem Exchange-Server - damit's schnell geht - von welchem Client (IP-Adresse) die Mails kommen, danach dort desinfizieren - Wochenende!
Ausführlicher nur mit mehr Infos: steht der Server nach Microsoft-Vorstellung direkt im Internet oder über POP/SMTP-Connectoren?
Wieviele Clients?
danach mit Wireshark - z.B. auf dem Exchange-Server - damit's schnell geht - von welchem Client (IP-Adresse) die Mails kommen, danach dort desinfizieren - Wochenende!
Ausführlicher nur mit mehr Infos: steht der Server nach Microsoft-Vorstellung direkt im Internet oder über POP/SMTP-Connectoren?
Wieviele Clients?
Sers,
über die Exchangeverwaltung mal das Tool Nachrichtenverfolgung starten und darin das ganze etwas eingrenzen (am Besten via Zeit, damit übersiehst du nichts). Da kannst du dann über die "Client IP" Adresse zumindest mal sehen ob es über ein Postfach im Exchange ging, oder ob der Exchange direkt als SNMP Server angesprochen wurde.
Das sollte dir die Problemlösung erleichtern.
Grüße,
Philip
über die Exchangeverwaltung mal das Tool Nachrichtenverfolgung starten und darin das ganze etwas eingrenzen (am Besten via Zeit, damit übersiehst du nichts). Da kannst du dann über die "Client IP" Adresse zumindest mal sehen ob es über ein Postfach im Exchange ging, oder ob der Exchange direkt als SNMP Server angesprochen wurde.
Das sollte dir die Problemlösung erleichtern.
Grüße,
Philip
Mahlzeit
und wenn der TO glaubt, sein Exchange könnte ein offenes Relay sein, so empfehle ich den EXBPA mal durchlaufen zu lassen:
Exchange 2010 SP1: What’s new with the Exchange Best Practices Analyzer?
und wenn der TO glaubt, sein Exchange könnte ein offenes Relay sein, so empfehle ich den EXBPA mal durchlaufen zu lassen:
Exchange 2010 SP1: What’s new with the Exchange Best Practices Analyzer?
Wo wir gerade noch bei MS Tools sind... das wichtigste vergessen:
Microsoft Exchange User Monitor. Quasi zum live zuguggen: http://www.microsoft.com/en-us/download/details.aspx?id=11461
Beim 2010er kam dann ja noch das Exchange Server 2010 Monitoring Management Pack dazu: http://www.microsoft.com/en-us/download/details.aspx?id=692
Microsoft Exchange User Monitor. Quasi zum live zuguggen: http://www.microsoft.com/en-us/download/details.aspx?id=11461
Beim 2010er kam dann ja noch das Exchange Server 2010 Monitoring Management Pack dazu: http://www.microsoft.com/en-us/download/details.aspx?id=692
Dann wäre der Vollständigkeit halber nurnoch zu klären aus welchen Netzen dieser Connector ansprechbar ist bzw. auf welche Netze er hört.
Meine Kristallkugel sagt mir dass dein Default Connector jegliche Netze akzeptiert. Und wenn aus belibigen Netzen anonymer Zugang gestattet wird, zu deinem SMTP (vom Ex), dann wundert mich der Spam nicht mehr.
Hast du über den Ex in letzter Zeit mal die Best Practice Analysen laufen lassen? Da hätte es sofort jede Menge Aufschreie geben müssen.
Grüße,
Philip
Meine Kristallkugel sagt mir dass dein Default Connector jegliche Netze akzeptiert. Und wenn aus belibigen Netzen anonymer Zugang gestattet wird, zu deinem SMTP (vom Ex), dann wundert mich der Spam nicht mehr.
Hast du über den Ex in letzter Zeit mal die Best Practice Analysen laufen lassen? Da hätte es sofort jede Menge Aufschreie geben müssen.
Grüße,
Philip
Moin!
Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail
verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Port 25 ist der Standard SMTP Port, das ist auch ok so.
Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Das heisst dass dein Server SMTP Traffic von jeder beliebigen IP Adresse annimmt.
Mal drauf achten ob dein Exchange auch die IP des Absenders von ausserhalb deines LANes sieht, oder ob der Ex dann nur die IP deines Gateways (idF wohl deiner Firewall) sieht. Falls er dann nur das Gateway sieht hast du hier potentiell einen weiteren Sicherheitsmoment den du nutzen könntest. Das geht jetzt aber ein wenig zu weit.
Stimmt dieses? oder wie gehört dieses sonst geändert?
Das musst du selbst entscheiden. Soll der Exchange via SMTP von ausserhalb seiner Firma ansprechbar sein? Wenn ja solltest du das so lassen. Willst ja erreichbar sein. Wenn ich dich oben richtig verstanden habe hat der Ex nen MX Record und sollte von dem her auch weiterhin so arbeiten.
Wenn der Ex mit MX Record im Netz hängt musst du auch den Anonymen Zugang weiterhin erlauben. Sonst kommen bei dir keine externen Mails mehr an.
Zur Spamvermeidung bleiben dir dann nurnoch Blacklists, etwa auf DNS Basis, und die sonstigen üblichen Verdächtigen wie Contextfiltering, Headeranalyse, SenderID-Analyse, etc. Der Ex2010 bringt da ja selbst schon sehr viel mit.
Ob du das auf dem Exchange selber machst, etwa über die AntiSPAM Funktionen (Zu finden iirc im Hub-Transport), oder über eine externe Lösung überlasse ich jetzt mal dir. Hier mal ein Beispiel wie du die SpamHaus DNS Sperrliste in deinen Ex bekommst:
http://netport.org/?p=1200
Der Ex kann eigentlich von sich aus schon recht viel in der Richtung. Man muss ihm halt sagen was er tun soll. Standardmäßig sind die AntiSpam-Funktionen nämlich deaktiviert.
Du könntest das natürlich auch auf ein Mail Security Gateway, oder einen weiteren vorgeschalteten Mailserver verlagern, falls du auf dem Ex dafür keine Performance übrig hast bzw. bereitstellen willst.
Falls du auf dem Ex wider Erwarten keinen MX Record hast weil der z.B. seine Mails alle über einen anderen Server erhält, oder sich via POP zieht, reicht es in den oben von dir erwähnten IP Adressen die Ranges deiner LANe sowie die IP Adresse des zuliefernden Mailservers, falls sich dieser ausserhalb deines LANes befindet. Damit dürfte dann auch die Notwendigkeit der Anonymen Authentifizierung hinfällig sein.
danke
Bitte.
Grüße,
Philip
Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail
verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Mal drauf achten ob dein Exchange auch die IP des Absenders von ausserhalb deines LANes sieht, oder ob der Ex dann nur die IP deines Gateways (idF wohl deiner Firewall) sieht. Falls er dann nur das Gateway sieht hast du hier potentiell einen weiteren Sicherheitsmoment den du nutzen könntest. Das geht jetzt aber ein wenig zu weit.
Stimmt dieses? oder wie gehört dieses sonst geändert?
Wenn der Ex mit MX Record im Netz hängt musst du auch den Anonymen Zugang weiterhin erlauben. Sonst kommen bei dir keine externen Mails mehr an.
Zur Spamvermeidung bleiben dir dann nurnoch Blacklists, etwa auf DNS Basis, und die sonstigen üblichen Verdächtigen wie Contextfiltering, Headeranalyse, SenderID-Analyse, etc. Der Ex2010 bringt da ja selbst schon sehr viel mit.
Ob du das auf dem Exchange selber machst, etwa über die AntiSPAM Funktionen (Zu finden iirc im Hub-Transport), oder über eine externe Lösung überlasse ich jetzt mal dir. Hier mal ein Beispiel wie du die SpamHaus DNS Sperrliste in deinen Ex bekommst:
http://netport.org/?p=1200
Der Ex kann eigentlich von sich aus schon recht viel in der Richtung. Man muss ihm halt sagen was er tun soll. Standardmäßig sind die AntiSpam-Funktionen nämlich deaktiviert.
Du könntest das natürlich auch auf ein Mail Security Gateway, oder einen weiteren vorgeschalteten Mailserver verlagern, falls du auf dem Ex dafür keine Performance übrig hast bzw. bereitstellen willst.
Falls du auf dem Ex wider Erwarten keinen MX Record hast weil der z.B. seine Mails alle über einen anderen Server erhält, oder sich via POP zieht, reicht es in den oben von dir erwähnten IP Adressen die Ranges deiner LANe sowie die IP Adresse des zuliefernden Mailservers, falls sich dieser ausserhalb deines LANes befindet. Damit dürfte dann auch die Notwendigkeit der Anonymen Authentifizierung hinfällig sein.
danke
Grüße,
Philip