net2010
Goto Top

Exchange Server 2010 - Massive SPAM Problem

Hallo Leute..

hoffe ihr könnt mir schnell helfen.

Problem:

Exchange Server 2010 - SPAM Problem

Es werden viele Spam Mails Versendet.
Habe schon Exchange AntiSpam installiert und konfiguriert, aber leider keine Änderung!

Schaut auch mal bitte den ScreenShot an... wie kann ich die Mails stoppen..

Bitte um eure Hilfe danke


26b720f79af4b0e5608eb0fdee1144ed

Content-ID: 193998

Url: https://administrator.de/forum/exchange-server-2010-massive-spam-problem-193998.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

broecker
broecker 09.11.2012 um 12:51:05 Uhr
Goto Top
1. Server vom Netz nehmen - Freitag - Mailtransport kann vielleicht einen Tag ausgesetzt werden?
2. Firewall zum Raussenden (Port 25) blockieren lassen - testen - wieder reinnehmen - damit würde eingehender Verkehr noch laufen und man hätte noch länger am Wochenende Zeit?
3. erst dann Ursache bekämpfen: Client-Analyse?
net2010
net2010 09.11.2012 um 12:56:29 Uhr
Goto Top
HI

Alles schon gemacht... aber wie sehe ich von wo dieses Problem kommt??
Von welchen Absenden usw?
broecker
broecker 09.11.2012 aktualisiert um 13:23:20 Uhr
Goto Top
ersteinmal, ob vom Server selbst indem nun (hoffentlich) die Warteschlangen nicht mehr anwachsen?!
danach mit Wireshark - z.B. auf dem Exchange-Server - damit's schnell geht - von welchem Client (IP-Adresse) die Mails kommen, danach dort desinfizieren - Wochenende!
Ausführlicher nur mit mehr Infos: steht der Server nach Microsoft-Vorstellung direkt im Internet oder über POP/SMTP-Connectoren?
Wieviele Clients?
psannz
psannz 09.11.2012 aktualisiert um 13:43:05 Uhr
Goto Top
Sers,

über die Exchangeverwaltung mal das Tool Nachrichtenverfolgung starten und darin das ganze etwas eingrenzen (am Besten via Zeit, damit übersiehst du nichts). Da kannst du dann über die "Client IP" Adresse zumindest mal sehen ob es über ein Postfach im Exchange ging, oder ob der Exchange direkt als SNMP Server angesprochen wurde.

Das sollte dir die Problemlösung erleichtern.

Grüße,
Philip
broecker
broecker 09.11.2012 um 13:52:19 Uhr
Goto Top
stimmt, meist ärgere ich mich über die MS-Tools so, daß ich sie hier direkt vergesse - netmon (als MS-Wireshark-Äquivalent) falls es noch nicht erhellend sein sollte)
goscho
goscho 09.11.2012 um 13:59:26 Uhr
Goto Top
Mahlzeit

und wenn der TO glaubt, sein Exchange könnte ein offenes Relay sein, so empfehle ich den EXBPA mal durchlaufen zu lassen:
Exchange 2010 SP1: What’s new with the Exchange Best Practices Analyzer?
psannz
psannz 09.11.2012 um 14:17:13 Uhr
Goto Top
Wo wir gerade noch bei MS Tools sind... das wichtigste vergessen:

Microsoft Exchange User Monitor. Quasi zum live zuguggen: http://www.microsoft.com/en-us/download/details.aspx?id=11461

Beim 2010er kam dann ja noch das Exchange Server 2010 Monitoring Management Pack dazu: http://www.microsoft.com/en-us/download/details.aspx?id=692
net2010
net2010 12.11.2012 aktualisiert um 10:35:50 Uhr
Goto Top
HI..

So jetzt gibs mehr Info...

Spam Mails werden von Extern über den Exchange Server gesendet.
IP Adresse von Extern ist bekannt. Habe ich jetzt auch in der FW gesperrt.

Aber leider ist dieses nicht wirklich eine schöne Lösung!

Wie kann ich heraus finden... wo mein Exchange Server sooo offen ist? Offenes Relay?

danke sehr


Exchange Server - Warteschlange - Eigenschaft von Spam Mail:


Identität: VS02\98\46
Betreff: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <757217a1-3c27-459e-9d91-c2051fcbbc30@....>
Von Adresse: forex2929@yahoo.com
Status: Bereit
Größe (KB): 7
Name der Nachrichtenquelle: SMTP:Default VS02
Quell-IP: 209.54.57.96
SCL (Spam Confidence Level): 0
Empfangsdatum: 12.11.2012 09:55:51
Ablaufzeit: 14.11.2012 09:55:51
Letzter Fehler:
Warteschlangen-ID: VS02\98
Empfänger: crysto_pixelworks@yahoo.co.nz

UND...


Identität: VS02\69\15
Betreff: Unzustellbar: PROGRAM Hangat MyRightd.. Zasssss Mari join
Internetnachrichten-ID: <13da337e-6126-4ea0-9001-03e680bdc99c@....>
Von Adresse: <>
Status: Bereit
Größe (KB): 11
Name der Nachrichtenquelle: DSN
Quell-IP: 255.255.255.255
SCL (Spam Confidence Level): -1
Empfangsdatum: 12.11.2012 09:55:06
Ablaufzeit: 14.11.2012 09:55:06
Letzter Fehler:
Warteschlangen-ID: VS02\69
Empfänger: forex2929@yahoo.com
net2010
net2010 12.11.2012 um 10:37:18 Uhr
Goto Top
http://www.mailradar.com/openrelay/

open Relay Test:

All tested completed! No relays accepted by remote host!
psannz
psannz 12.11.2012 um 13:34:42 Uhr
Goto Top
Nimm dir mal "Name der Nachrichtenquelle: SMTP:Default VS02" als Stichwort und und schau nach welche Authentifizierung für den Connector eingestellt ist. Beziehungsweise ob überhaupt eine Authentifizierung nötig ist.
net2010
net2010 12.11.2012 um 13:59:18 Uhr
Goto Top
Sendeconnector - SMTP- Eigenschaften - Netzwerk

MX-Datensätze des DNS zum automatischen Weiterleitung von E-Mail verwenden


mehr ist nicht angehackt!
psannz
psannz 12.11.2012 um 15:03:27 Uhr
Goto Top
Und wie schauts im Hub-Transport bei den Empfangsconnectoren aus? Authentifizierung dort aktiviert? Lässt du unter den Berechtigungsgruppen anonymen Zugriff zu?

Sorry, hab hier leider grad nur nen 2007er Ex vor mir, aber iirc waren die Bezeichnungen beim Ex2010 identisch.
net2010
net2010 12.11.2012 um 16:39:50 Uhr
Goto Top
Empfangsconnector:

Default - Berechtigungsgruppe - Anonyme Benutzer / Exchnage Benutzer / Exchangen Server = angehackt
Authentifizierung - Transport Layer Sec. TLS / Standardauth. / Integrierte Windwos Auth- = angehackt


danke
psannz
psannz 12.11.2012 um 23:45:01 Uhr
Goto Top
Dann wäre der Vollständigkeit halber nurnoch zu klären aus welchen Netzen dieser Connector ansprechbar ist bzw. auf welche Netze er hört.

Meine Kristallkugel sagt mir dass dein Default Connector jegliche Netze akzeptiert. Und wenn aus belibigen Netzen anonymer Zugang gestattet wird, zu deinem SMTP (vom Ex), dann wundert mich der Spam nicht mehr.

Hast du über den Ex in letzter Zeit mal die Best Practice Analysen laufen lassen? Da hätte es sofort jede Menge Aufschreie geben müssen.

Grüße,
Philip
net2010
net2010 13.11.2012 um 08:04:01 Uhr
Goto Top
HI...

Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.

Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....

Stimmt dieses? oder wie gehört dieses sonst geändert?

danke
psannz
psannz 13.11.2012 aktualisiert um 09:12:52 Uhr
Goto Top
Zitat von @net2010:
HI...
Moin!

Also bei Empfangsconnector - Default - Netzwerk steht bei "Diese lokalen IP Adressen zum Empfangen von E-Mail
verwenden:"
nur die Exchange Server IP drin mit dem Port 25 halt.
Port 25 ist der Standard SMTP Port, das ist auch ok so.

Beim Punkt " E-Mail von Remotservern mit folgenden IP Adressen empfangen" steht:
0.0.0.0-255.255.255.255 drin....
Das heisst dass dein Server SMTP Traffic von jeder beliebigen IP Adresse annimmt.
Mal drauf achten ob dein Exchange auch die IP des Absenders von ausserhalb deines LANes sieht, oder ob der Ex dann nur die IP deines Gateways (idF wohl deiner Firewall) sieht. Falls er dann nur das Gateway sieht hast du hier potentiell einen weiteren Sicherheitsmoment den du nutzen könntest. Das geht jetzt aber ein wenig zu weit.

Stimmt dieses? oder wie gehört dieses sonst geändert?
Das musst du selbst entscheiden. Soll der Exchange via SMTP von ausserhalb seiner Firma ansprechbar sein? Wenn ja solltest du das so lassen. Willst ja erreichbar sein. Wenn ich dich oben richtig verstanden habe hat der Ex nen MX Record und sollte von dem her auch weiterhin so arbeiten.

Wenn der Ex mit MX Record im Netz hängt musst du auch den Anonymen Zugang weiterhin erlauben. Sonst kommen bei dir keine externen Mails mehr an.

Zur Spamvermeidung bleiben dir dann nurnoch Blacklists, etwa auf DNS Basis, und die sonstigen üblichen Verdächtigen wie Contextfiltering, Headeranalyse, SenderID-Analyse, etc. Der Ex2010 bringt da ja selbst schon sehr viel mit.
Ob du das auf dem Exchange selber machst, etwa über die AntiSPAM Funktionen (Zu finden iirc im Hub-Transport), oder über eine externe Lösung überlasse ich jetzt mal dir. Hier mal ein Beispiel wie du die SpamHaus DNS Sperrliste in deinen Ex bekommst:
http://netport.org/?p=1200
Der Ex kann eigentlich von sich aus schon recht viel in der Richtung. Man muss ihm halt sagen was er tun soll. Standardmäßig sind die AntiSpam-Funktionen nämlich deaktiviert.

Du könntest das natürlich auch auf ein Mail Security Gateway, oder einen weiteren vorgeschalteten Mailserver verlagern, falls du auf dem Ex dafür keine Performance übrig hast bzw. bereitstellen willst.


Falls du auf dem Ex wider Erwarten keinen MX Record hast weil der z.B. seine Mails alle über einen anderen Server erhält, oder sich via POP zieht, reicht es in den oben von dir erwähnten IP Adressen die Ranges deiner LANe sowie die IP Adresse des zuliefernden Mailservers, falls sich dieser ausserhalb deines LANes befindet. Damit dürfte dann auch die Notwendigkeit der Anonymen Authentifizierung hinfällig sein.


danke
Bitte.

Grüße,
Philip
net2010
net2010 13.11.2012 um 09:31:44 Uhr
Goto Top
mmhh... face-smile

okay... danke sehr