20
Exchange verschickt anscheinend Spam
Moin Leude,
habe ein komisches Problem. Habe heut morgen nach ein paar Tagen unterwegs ein Postfach geöffnet, dass nur im Büro bearbeitet wird. Ich habe ca. 91 Emails im Postfach, Mail Delivery Subsystem.
Uzustellbar Mobilfunkrechnung Telekom, Unzustellbar 1und1 Mail....
Alle Emails kamen "angeblich" zurück, weil die Empfängeradresse nicht stimmt bzw. der Mailserver die Mail nicht akzeptiert....
Im Postausgang habe ich keine einzige der Emails als gesendet angezeigt. Hat sich etwa mein Exchange was eingefangen? Hattet Ihr dasselbe Problem auch mal?
Danke für Eure Tips.
Der Bätmän
habe ein komisches Problem. Habe heut morgen nach ein paar Tagen unterwegs ein Postfach geöffnet, dass nur im Büro bearbeitet wird. Ich habe ca. 91 Emails im Postfach, Mail Delivery Subsystem.
Uzustellbar Mobilfunkrechnung Telekom, Unzustellbar 1und1 Mail....
Alle Emails kamen "angeblich" zurück, weil die Empfängeradresse nicht stimmt bzw. der Mailserver die Mail nicht akzeptiert....
Im Postausgang habe ich keine einzige der Emails als gesendet angezeigt. Hat sich etwa mein Exchange was eingefangen? Hattet Ihr dasselbe Problem auch mal?
Danke für Eure Tips.
Der Bätmän
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 255130
Url: https://administrator.de/contentid/255130
Ausgedruckt am: 28.11.2024 um 17:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Such mal nach backscatter in der Suchmaschine Deiner Wahl und schau mal in die Header der Mails.
lks
Such mal nach backscatter in der Suchmaschine Deiner Wahl und schau mal in die Header der Mails.
lks
Moin,
. Aber bist Du sicher, dass Dein Exchange die Teile verschickt hat 
. Eventuell bekommst Du ja nur die NDR zurück? Aber das kann der bätman ja mal checken ... Und solange wir nicht wissen, wie Dein MX seine mails bekommt, bleibt Gotham-City halt NDR-City
LG, Thomas
Exchange verschickt anscheinend Spam
überrascht bei Dir jetzt nicht wirklich . Aber bist Du sicher, dass Dein Exchange die Teile verschickt hat . Eventuell bekommst Du ja nur die NDR zurück? Aber das kann der bätman ja mal checken ... Und solange wir nicht wissen, wie Dein MX seine mails bekommt, bleibt Gotham-City halt NDR-City LG, Thomas
Hi
Des Weiteren musst du den Exchange prüfen, ob dort in den Sendelogs die Mails von deinem System gesendet wurden.
Jedenfalls hilft dir nur die Logs des Exchange mal zu prüfen.
Dann schau dir diese an
dir mal diese Links an:
https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/GefaelschteAbsen ...
https://www.antispam-ev.de/wiki/Meine_Emailadresse_wurde_als_Absender_mi ...
Gruß
Des Weiteren musst du den Exchange prüfen, ob dort in den Sendelogs die Mails von deinem System gesendet wurden.
Jedenfalls hilft dir nur die Logs des Exchange mal zu prüfen.
Dann schau dir diese an
dir mal diese Links an:
https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/GefaelschteAbsen ...
https://www.antispam-ev.de/wiki/Meine_Emailadresse_wurde_als_Absender_mi ...
Gruß
@ keine Ahnung, mein sbs ist bei Strato als eigener MX eingetragen...
Zitat von @hajowe:
Des Weiteren musst du den Exchange prüfen, ob dort in den Sendelogs die Mails von deinem System gesendet wurden.
Jedenfalls hilft dir nur die Logs des Exchange mal zu prüfen.
Des Weiteren musst du den Exchange prüfen, ob dort in den Sendelogs die Mails von deinem System gesendet wurden.
Jedenfalls hilft dir nur die Logs des Exchange mal zu prüfen.
Es reicht üblicherweise einfach ein kurzer Blick in die Header, um festzusctellen, ob das backscatter ist oder nicht. Wenn die wirklich von der eigenen Kiste evrschickt werden, taucht die garantiert in den Headern auf, weil alle nachfolgenden Systeme keinen Grund haben, die entsprechenden received-Einträge rauszuretuschieren.
lks
Schau in die Header nach den received-Statments. Ich meine damit die Header der "Originalmail", die bei den NDRs eigentlich dabei sein sollten.
lks
Guten Morgen allerseits,
Endweder das (@Lochkartenstanzer) oder ansonsten fallen mir die Standart Checks ein...
- umgehend Zugangsdaten für den Email Account ändern lassen (!)
- umgehend Rechner/Netzwerkverbindung ausschalten lassen
- Serverseitig prüfen, welche Mails tatsächlich von welchem Zugang aus gesendet wurden.
- zum nächstmöglichen Zeitpunkt Virenscaner drüber laufen lassen
Auf jeden fall nicht unterschätzen das Problem.
Kann diverse folgen haben... .
Gruß
SweetOne
Ergänzung:
da wart Ihr ganz schön Fix jetzt mit Antworten vor mir
Endweder das (@Lochkartenstanzer) oder ansonsten fallen mir die Standart Checks ein...
- umgehend Zugangsdaten für den Email Account ändern lassen (!)
- umgehend Rechner/Netzwerkverbindung ausschalten lassen
- Serverseitig prüfen, welche Mails tatsächlich von welchem Zugang aus gesendet wurden.
- zum nächstmöglichen Zeitpunkt Virenscaner drüber laufen lassen
Auf jeden fall nicht unterschätzen das Problem.
Kann diverse folgen haben... .
Gruß
SweetOne
Ergänzung:
da wart Ihr ganz schön Fix jetzt mit Antworten vor mir
Das nicht, aber ein schneller Blick in die Header zeigt sofort, ob das ein Problem anderer Leute ist (nicht zu verwechseln mit dem PAL-Feld) oder ein eigenes. Im ersteren Fall kann man nicht viel machen, außer die Mails in die Tonne zu treten, z.B. durch feinjustieren des SPAm-Filters. Im letzteren sollte man sich schleunigst Hilfe holen.
lks
Die Received Statements besagen:
Received: from localhost by smtp.strato.de...
Received: from localhost by smtp.strato.de...
Möglicherweise hat jemand deine Zugangsdaten des Mailaccounts bei Strato gehackt.
Ist mir auch mal passiert (bei einem GMX-Account).
Ich habe bei meinen Account im Online-Adressbuch immer eine nicht existierende E-Mail-Adresse drin. Viele Hacker verwenden dieses nämlich, um auch dahin ihre Spammails zu versenden (Natürlich nicht nur dahin).
Der Vorteil, wenn ich von einer dieser Fantasie-E-Mail-Adresse einen NDR bekomme, dann weiß ich schon mal, dass sich genau an dieser Stelle jemand eingehackt hat, und kann Gegenmaßnahmen ergreifen.
Genauso hab ich im Outlook-Adressbuch auch eine Fake-E-Mail-Adresse drin, um auch für den Fall, dass sich jemand über mein Outlook Mails verschickt, einen NDR zu bekommen.
Ist zwar kein Schutz, aber es hilft einem damit man sowas ziemlich schnell mitbekommt.
Gruß Dieter
Ist mir auch mal passiert (bei einem GMX-Account).
Ich habe bei meinen Account im Online-Adressbuch immer eine nicht existierende E-Mail-Adresse drin. Viele Hacker verwenden dieses nämlich, um auch dahin ihre Spammails zu versenden (Natürlich nicht nur dahin).
Der Vorteil, wenn ich von einer dieser Fantasie-E-Mail-Adresse einen NDR bekomme, dann weiß ich schon mal, dass sich genau an dieser Stelle jemand eingehackt hat, und kann Gegenmaßnahmen ergreifen.
Genauso hab ich im Outlook-Adressbuch auch eine Fake-E-Mail-Adresse drin, um auch für den Fall, dass sich jemand über mein Outlook Mails verschickt, einen NDR zu bekommen.
Ist zwar kein Schutz, aber es hilft einem damit man sowas ziemlich schnell mitbekommt.
Gruß Dieter
Received: from localhost by smtp.strato.de...
Das wird wohl nicht das Einzige sein, was dort geloggt ist ...???
@ catnemo
genauso es auch bei mir. Eines meiner Emailkontenkonten wurde gestern wohl gehackt. Lustigerweise, obwohl meine Passwörter von Strato selbst als "sehr gut" eingestuft werden und 12 Zeichen lang sind.
Strato hat mir gestern abend den Emailversand nach aussen gesperrt, bsi die enstprechenden Gegenmassnahmen getroffen sind. Hies also gestern Nachschicht. Jetzt will ich nur hoffen, dass die meine Konten heute im Laufe des Tages wieder entsperren....
genauso es auch bei mir. Eines meiner Emailkontenkonten wurde gestern wohl gehackt. Lustigerweise, obwohl meine Passwörter von Strato selbst als "sehr gut" eingestuft werden und 12 Zeichen lang sind.
Strato hat mir gestern abend den Emailversand nach aussen gesperrt, bsi die enstprechenden Gegenmassnahmen getroffen sind. Hies also gestern Nachschicht. Jetzt will ich nur hoffen, dass die meine Konten heute im Laufe des Tages wieder entsperren....
Zitat von @ischbindebaetmaen:
Lustigerweise, obwohl meine Passwörter von Strato selbst als "sehr gut" eingestuft werden und 12 Zeichen lang sind.
Lustigerweise, obwohl meine Passwörter von Strato selbst als "sehr gut" eingestuft werden und 12 Zeichen lang sind.
Du darst Dich nciht auf die Einstufung irgendwelcher "Paßwortqualittsbeurteiler" verlassen. Wichtig. Du mußt die Entropie groß genug machen und darauf achten, daß Wörterbuch und Rainbow-Table-Attacken nciht greifen.
Das Paßwort oder sein hash kann übrigens an vielen Stellen abgegriffen werden, beim Provider, auf der Leitung oder bei Dir auf der Kiste/im LAN.
Strato hat mir gestern abend den Emailversand nach aussen gesperrt, bsi die enstprechenden Gegenmassnahmen getroffen sind. Hies
also gestern Nachschicht. Jetzt will ich nur hoffen, dass die meine Konten heute im Laufe des Tages wieder entsperren....
also gestern Nachschicht. Jetzt will ich nur hoffen, dass die meine Konten heute im Laufe des Tages wieder entsperren....
Prüf mal die Header genauer, wo genau die Mail eingekippt wurde.
lks
Eines meiner Emailkontenkonten wurde gestern wohl gehackt. Lustigerweise, obwohl meine Passwörter von Strato selbst als "sehr gut" eingestuft werden und 12 Zeichen lang sind
Woher kennt Strato die Passwörter für Deine Domäne??@ keine Ahnung, mein sbs ist bei Strato als eigener MX eingetragen...
???????Zitat von @keine-ahnung:
> Eines meiner Emailkontenkonten wurde gestern wohl gehackt. Lustigerweise, obwohl meine Passwörter von Strato selbst als
"sehr gut" eingestuft werden und 12 Zeichen lang sind
Woher kennt Strato die Passwörter für Deine Domäne??
> Eines meiner Emailkontenkonten wurde gestern wohl gehackt. Lustigerweise, obwohl meine Passwörter von Strato selbst als
"sehr gut" eingestuft werden und 12 Zeichen lang sind
Woher kennt Strato die Passwörter für Deine Domäne??
Er wird auf dem strato-Server eimailkonten eingerichtet haben, die noch aktiv sind, obwohl er den MX umgebogen hat - sagt meine Kristallkugel.
Oder sein kundenaccoutn bei Strato ist geleakt.
lks
Hallo,
ich hatte auch mal einen ähnlichen Fall über 1u1...
...hatte die "lustige" Folge das unser Relays Host außer gefecht gesetzt wurde.
Jedoch nicht durch 1u1 sondern durch den Internet Provider Telekom.
Seitdem haben wir die Standart Mail Ports quer durch die Bank nach außen gesperrt....
Per Hardwarefirewall, außer natürlich für den Mailserver.
Interessanter Weiße kahm eine Woche drauf ein Hinweis von der TK per Post.... .
Richtig nachvollziehen konnten wir die Sache jedenfalls nie.
Trotz ausführlicher Verbindungslogs des Gates.
Lg aus bayern
SweetOne
ich hatte auch mal einen ähnlichen Fall über 1u1...
...hatte die "lustige" Folge das unser Relays Host außer gefecht gesetzt wurde.
Jedoch nicht durch 1u1 sondern durch den Internet Provider Telekom.
Seitdem haben wir die Standart Mail Ports quer durch die Bank nach außen gesperrt....
Per Hardwarefirewall, außer natürlich für den Mailserver.
Interessanter Weiße kahm eine Woche drauf ein Hinweis von der TK per Post.... .
Richtig nachvollziehen konnten wir die Sache jedenfalls nie.
Trotz ausführlicher Verbindungslogs des Gates.
Lg aus bayern
SweetOne
Er wird auf dem strato-Server eimailkonten eingerichtet haben, die noch aktiv sind, obwohl er den MX umgebogen hat - sagt meine Kristallkugel.
Ein Fall für das Gotham-PD. Oder den Joker ... LG, Thomas
Er wird auf dem strato-Server eimailkonten eingerichtet haben, die noch aktiv sind, obwohl er den MX umgebogen hat - sagt meine
Kristallkugel.
Kristallkugel.
Stimmt genau, auf dem Strato-Server sind die Emailkonten ursprünglich eingerichtet.
Die Konten bei Strato brauch ich dann also nicht mehr, wennd er MX auf meinen SBS verweist?
Habe noch eine Frage, zur Warteschlange. Habe noch zwei von diesen Spammails in der Warteschlange und wollte deise natürlich löschen. Dummerweise gehts nicht, wenn ich die Emails markiere, wir mir mit Rechtsklick nur "Eigenschaften" und "hilfe" angezeigt. Wie kriege ich die Dinger aus der Warteschlange raus?
Vielleicht noch als Ergänzung, die Emails haben den Status,"Wiederholung". Habe die Warteschlange eben angehalten und eine Testmail verschickt, die natürlich nicht rausging und die hätte ich löschen können. Wie bekomme ich die anderen Emails raus?
Zitat von @ischbindebaetmaen:
Die Konten bei Strato brauch ich dann also nicht mehr, wennd er MX auf meinen SBS verweist?
Die Konten bei Strato brauch ich dann also nicht mehr, wennd er MX auf meinen SBS verweist?
Wenn Du die Mails per MX direkt auf den SBS leitest, brauchst Du die Mailkonten bei Strato direkt ncht mehr, es sei denn:
- Du hast externe (=nicht im LAN sitzende) Mitarbeiter, die nicht auf den SBS dürfen oder können.
- Du brauchst ein Fallback, falls Deine Internet kaputtgeht oder Dein SBS spinnt.
lks
Hallo Leute,
an dieser Stelle mal eine ihrgendwie zum Thema passente Frage welche mir schon länger auf den Nägeln brennt.
Wir haben aus der histrorie heraus noch 1u1 als Email Provider.
Der 1u1 Mail Server fungiert hier aber nur als Relayshost für unsere Email Software (kerio).
Wie macht ihr das mit BCC Mails?
Bei uns gelangen diese alle ohne Empfänger im allgemeinen Postfach.
Laut 1u1 geht das nicht anderst, sehr ihr das auch so?
Im Postfach habe ich prinzipiell diverse durchaus wichtige Mails ohne Empfänger Angabe.
Im Header kann ich jedoch schon noch Empfänger angaben finden.
header stellt sich dann maximal so dar:
Received: from server.de ([194.138.37.39]) by mx.kundenserver.de
(mxeue101) with ESMTPS (Nemesis) id 0MC1QW-1Xjzxm2bJ2-008trO for
<empfänger@domain.de>; Mon, 24 Nov 2014 10:09:42 +0100
Euch grüßt
SweetOne
an dieser Stelle mal eine ihrgendwie zum Thema passente Frage welche mir schon länger auf den Nägeln brennt.
Wir haben aus der histrorie heraus noch 1u1 als Email Provider.
Der 1u1 Mail Server fungiert hier aber nur als Relayshost für unsere Email Software (kerio).
Wie macht ihr das mit BCC Mails?
Bei uns gelangen diese alle ohne Empfänger im allgemeinen Postfach.
Laut 1u1 geht das nicht anderst, sehr ihr das auch so?
Im Postfach habe ich prinzipiell diverse durchaus wichtige Mails ohne Empfänger Angabe.
Im Header kann ich jedoch schon noch Empfänger angaben finden.
header stellt sich dann maximal so dar:
Received: from server.de ([194.138.37.39]) by mx.kundenserver.de
(mxeue101) with ESMTPS (Nemesis) id 0MC1QW-1Xjzxm2bJ2-008trO for
<empfänger@domain.de>; Mon, 24 Nov 2014 10:09:42 +0100
Euch grüßt
SweetOne
