11
Fremde Nutzung obwohl kein open Relay?
Hallo Leute,
ein Kunde hat das Problem, dass von seinem SBS Server aus fremde E-Mails versendet werden.
Absenderadresse:
mailid94136@taxrefund8362.irs.gov
Empfänger:
lemlys@skybest.com; lemley@houston.rr.com; lemleyscatering@sbcglobal.net; lemleysja@sbcglobal.net; lemleznew2000@yahoo.com; lemler@cisco.com; lemle@bex.net; lemlein@aol.com; lemm42@aol.com; lemmafu@aol.com; lemma@lvc.edu; lemlharris@sbcgloblal.net; lemma73@mmisery.com; lemm@yadtel.net; lemlo@mac.com; lemlex@hotmail.com; lemleychiro@hotmail.com; lemlo53@hotmail.com; lemma@globemw.net; lemley.rich@epa.gov
mal so als Beispiel.
Dieser Server ist kein offenes Relay und steht auch hinter einer Firewall. Aktiver Virenscanner ist auf allen PCs und Servern. Ich weiß nicht, wo ich noch suchen soll und bitte euch um Rat.
MfG
Heiko
ein Kunde hat das Problem, dass von seinem SBS Server aus fremde E-Mails versendet werden.
Absenderadresse:
mailid94136@taxrefund8362.irs.gov
Empfänger:
lemlys@skybest.com; lemley@houston.rr.com; lemleyscatering@sbcglobal.net; lemleysja@sbcglobal.net; lemleznew2000@yahoo.com; lemler@cisco.com; lemle@bex.net; lemlein@aol.com; lemm42@aol.com; lemmafu@aol.com; lemma@lvc.edu; lemlharris@sbcgloblal.net; lemma73@mmisery.com; lemm@yadtel.net; lemlo@mac.com; lemlex@hotmail.com; lemleychiro@hotmail.com; lemlo53@hotmail.com; lemma@globemw.net; lemley.rich@epa.gov
mal so als Beispiel.
Dieser Server ist kein offenes Relay und steht auch hinter einer Firewall. Aktiver Virenscanner ist auf allen PCs und Servern. Ich weiß nicht, wo ich noch suchen soll und bitte euch um Rat.
MfG
Heiko
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89419
Url: https://administrator.de/contentid/89419
Ausgedruckt am: 23.11.2024 um 19:11 Uhr
11 Kommentare
Neuester Kommentar
Hm, wenn Du das mit Relay DEFINITIV ausschliessen kannst, dann würde ich es mal mit einem Trojaner- oder Rootkit-Scanner von einem anderen Anbieter versuchen.
Lonesome Walker
Lonesome Walker
Hi,
ich stimme LSW zu...ansonsten schaue doch mal im Logfile von Exchange nach \\servername\servername.LOG nach, woher die Mails kamen. Somit kannst du den Verursacher bsser eingrenzen.
Gruss,
Dani
ich stimme LSW zu...ansonsten schaue doch mal im Logfile von Exchange nach \\servername\servername.LOG nach, woher die Mails kamen. Somit kannst du den Verursacher bsser eingrenzen.
Gruss,
Dani
Hallo,
woher weißt du, das die fremden Mails wirklich von diesem Server stammen und nicht bloß die Absenderadresse gefälscht wurde?
mfg
Harald
woher weißt du, das die fremden Mails wirklich von diesem Server stammen und nicht bloß die Absenderadresse gefälscht wurde?
mfg
Harald
Hallo,
ich würde bei deiner Beschreibung eher auf Bounces tippen. Was meint denn die Nachrichtenverfolgung?
Grüße, Steffen
ich würde bei deiner Beschreibung eher auf Bounces tippen. Was meint denn die Nachrichtenverfolgung?
Grüße, Steffen
Hi zusammen,
danke für die Tipps.
Trojaner-Scanner hat nichts gebracht.
Ok, Bounces sagt mir jetzt leider nichts. So was wie Hops (Metrik)? Aber wieso können die Mails dann über dem Exchange des Kunden?
Die fremden Mails kommen auf jeden Fall von diesem Server, da der Exchange nicht direkt ins Netz versendet sondern über eine Internet Appliance, die für den Exchange als Mail-Relay dient. In den Logs dieser Appliance ist bei diesen Mails definitiv der Exchange der Versender.
MfG
Heiko
danke für die Tipps.
Trojaner-Scanner hat nichts gebracht.
Ok, Bounces sagt mir jetzt leider nichts. So was wie Hops (Metrik)? Aber wieso können die Mails dann über dem Exchange des Kunden?
Die fremden Mails kommen auf jeden Fall von diesem Server, da der Exchange nicht direkt ins Netz versendet sondern über eine Internet Appliance, die für den Exchange als Mail-Relay dient. In den Logs dieser Appliance ist bei diesen Mails definitiv der Exchange der Versender.
MfG
Heiko
Hallo,
Bounces sind Unzustellbarkeitsnachrichten. Was steht denn in der Nachrichtenverfolgung des Exchange-Servers?
mfg
Harald
Bounces sind Unzustellbarkeitsnachrichten. Was steht denn in der Nachrichtenverfolgung des Exchange-Servers?
mfg
Harald
Hi,
was genau möchtest du da jetzt wissen? Ich sehe in der Nachrichtenverfolgung ja nur den Absender und die ganzen Empfänger einer solchen E-Mail.
MfG
Heiko
was genau möchtest du da jetzt wissen? Ich sehe in der Nachrichtenverfolgung ja nur den Absender und die ganzen Empfänger einer solchen E-Mail.
MfG
Heiko
Frage erst einmal: Wieso schließt du das offene Relay aus ??? Wie hast du es getestet ???
Aktiviere mal im Exchange das SMTP-Logging. Die Nachrichtenverfolgung gibt net ganz so viel her...
Gruß
Hubert
Aktiviere mal im Exchange das SMTP-Logging. Die Nachrichtenverfolgung gibt net ganz so viel her...
Gruß
Hubert
Ich habe einen Test über abuse.net durchgeführt. Hoffe, damit mache ich mich gerade nicht lächerlich 
Das Problem ist, dass jetzt nicht mehr von innen gespamt wird. War vorerst eine einmalige sache, deswegen bringt mir das SMTP-Logging nicht viel.
Ich habe letzte Woche einen hardwarebasierten SPAM-Filter eingebaut. Er scannt den gesamten SMTP-Verkehr zwischen Firewall und Exchange-Server. Daher kann es jetzt nicht mehr passieren. Wollte halt nur der Ursache auf die Spur kommen.
Das Problem ist, dass jetzt nicht mehr von innen gespamt wird. War vorerst eine einmalige sache, deswegen bringt mir das SMTP-Logging nicht viel.
Ich habe letzte Woche einen hardwarebasierten SPAM-Filter eingebaut. Er scannt den gesamten SMTP-Verkehr zwischen Firewall und Exchange-Server. Daher kann es jetzt nicht mehr passieren. Wollte halt nur der Ursache auf die Spur kommen.
Wieso solltest du dich damit lächerlich machen ???
Naja - ich würde nun aber trotzdem mal das Logging einschalten. Weil ich persönlich keine gutes Gefühl hätte, bei der Sache hätte. Wenn mal wieder was ist, dann kannst du dann halt nachschauen.
Denn die Frage, wie diesae Mails überhaupt vom Server aus versendet werden knnten, die hast du ja noch nicht geklärt...
Gruß
Hubert
Naja - ich würde nun aber trotzdem mal das Logging einschalten. Weil ich persönlich keine gutes Gefühl hätte, bei der Sache hätte. Wenn mal wieder was ist, dann kannst du dann halt nachschauen.
Denn die Frage, wie diesae Mails überhaupt vom Server aus versendet werden knnten, die hast du ja noch nicht geklärt...
Gruß
Hubert
Weiß nich, vielleicht ist es ja auch unprofessionell
Ok, ich schalte das Logging mal ein und werde es beobachten.
Danke erstmal für Eure Hilfe.
Ok, ich schalte das Logging mal ein und werde es beobachten.
Danke erstmal für Eure Hilfe.
