6
IIs SMTP Server auf Windows 2003 Server
Hallo,
ich brauche ganz dringend Hilfe!
Ich habe einen Windows 2003 Server auf dem ein SMTP Dienst läuft. Heute seh ich zum ersten mal das die Platte voll ist und das der Ordner BADMAIL total überfüllt ist!
In dieses Ordner kommen ungefähr 5 log files pro sekunde. es dauert nicht lange dann sind 2 gb wieder voll und nichts geht mehr.
Kann mir bitte einer weiter helfen? Kann ich dieses BADMAIL Ordner deaktivieren? oder stimmt was anderes nicht?
Die Logfiles gehen immer an sehr seltsame Adressen z.B. asda@url.com.tw oder asdasd@yam.com.tw oder asdasd@ms33.hinet.net
brauche umbedingt ganz schnell Hilfe!
MfG
Torben Dietrich
ich brauche ganz dringend Hilfe!
Ich habe einen Windows 2003 Server auf dem ein SMTP Dienst läuft. Heute seh ich zum ersten mal das die Platte voll ist und das der Ordner BADMAIL total überfüllt ist!
In dieses Ordner kommen ungefähr 5 log files pro sekunde. es dauert nicht lange dann sind 2 gb wieder voll und nichts geht mehr.
Kann mir bitte einer weiter helfen? Kann ich dieses BADMAIL Ordner deaktivieren? oder stimmt was anderes nicht?
Die Logfiles gehen immer an sehr seltsame Adressen z.B. asda@url.com.tw oder asdasd@yam.com.tw oder asdasd@ms33.hinet.net
brauche umbedingt ganz schnell Hilfe!
MfG
Torben Dietrich
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 60197
Url: https://administrator.de/contentid/60197
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo torbendietrich!
Noch etwas zu folgenden Zeilen:
Viele Grüße
Dani
Kann mir bitte einer weiter helfen? Kann ich dieses BADMAIL Ordner deaktivieren? oder
stimmt was anderes nicht?
Ich würde mir eher Gedanken machen, warum so viele E-Mails in den Badmail landen. Denn es liegt doch klar auf der Hand, dass ein Einstellungsfehler vorhanden liegt. Könntest du einen kl. Abschnitt einer Log - Datei mal posten. Denn deaktivieren ist sicher nicht die beste Lösung!! Hört sich an, als würdest du voll gemüllt...per Bot o.ä.stimmt was anderes nicht?
Noch etwas zu folgenden Zeilen:
ich brauche ganz dringend Hilfe!
brauche umbedingt ganz schnell Hilfe!
Das bringt dir hier im Forum nichts. Denn sowas ist laut den Diskussionsrichtlinien - die Regeln zu unseren Inhalten nicht gerne gesehen (Regel Nr. 2 - Punkt 7).brauche umbedingt ganz schnell Hilfe!
Viele Grüße
Dani
Hallo Torben,
das hört sich aber sehr nach einem offenen Relay an. Das solltest Du mal als erstes überprüfen.
Eventuell wird Dein Server als Spamschleuder verwendet.
um den Relay zu testen kannst Du folgendes machen.
Die Webseite www.abuse.net bietet unter der URL http://www.abuse.net/relay.html einen Relaytest an, der als Schnelltest ganz ok ist.
manueller Test
auf kommandozeilenebene
telnet <deinserver> 25
hier sollte sich dein Server dann mit 220 <name> microsoft blablabla server version 0815 melden
helo irgendeine.de
hier kommt die Antwort deines Server zurück mit 250 <name> ipadresse
mail from:<absender@irgendeine.de>
dann kommt von deinem Server wieder eine Antwort zurück
rcpt to:<empfaenger@nochmalneandere.de>
hier könnte schon ein relay denied kommen wenn er das nicht erlaubt
data
<<<< Leerzeile lassen danach beginnt der body
Subject: TEST
bla
bla
bla
. <<<<< der punkt bedeutet ende der nachricht
wenn der server die nachricht jetzt akzeptiert dann ist das ein offenes relay
Es gibt auch eine zweite Möglichkeit
Dur wirst mit directory harvesting vollgemüllt, das heißt man versucht an alle möglichen adressen in deiner Firma was zu schicken mit natürlich gefakten Absenderadressen. Du lässt es aber zu non deliveries zurückzusenden. da diese Domänen oder Benutzer nicht existent sind kommen diese zurück. --> was macht denn Dein SPAM Filter
Wie sind denn die wirklichen Mailwege be9i Dir, ich habe einen anderen Beitrag von Dir gesehen wo Du hier gefragt hast wie die Mailwege bei Dir sind.
das fürs erste
Gruß
Egbert
das hört sich aber sehr nach einem offenen Relay an. Das solltest Du mal als erstes überprüfen.
Eventuell wird Dein Server als Spamschleuder verwendet.
um den Relay zu testen kannst Du folgendes machen.
Die Webseite www.abuse.net bietet unter der URL http://www.abuse.net/relay.html einen Relaytest an, der als Schnelltest ganz ok ist.
manueller Test
auf kommandozeilenebene
telnet <deinserver> 25
hier sollte sich dein Server dann mit 220 <name> microsoft blablabla server version 0815 melden
helo irgendeine.de
hier kommt die Antwort deines Server zurück mit 250 <name> ipadresse
mail from:<absender@irgendeine.de>
dann kommt von deinem Server wieder eine Antwort zurück
rcpt to:<empfaenger@nochmalneandere.de>
hier könnte schon ein relay denied kommen wenn er das nicht erlaubt
data
<<<< Leerzeile lassen danach beginnt der body
Subject: TEST
bla
bla
bla
. <<<<< der punkt bedeutet ende der nachricht
wenn der server die nachricht jetzt akzeptiert dann ist das ein offenes relay
Es gibt auch eine zweite Möglichkeit
Dur wirst mit directory harvesting vollgemüllt, das heißt man versucht an alle möglichen adressen in deiner Firma was zu schicken mit natürlich gefakten Absenderadressen. Du lässt es aber zu non deliveries zurückzusenden. da diese Domänen oder Benutzer nicht existent sind kommen diese zurück. --> was macht denn Dein SPAM Filter
Wie sind denn die wirklichen Mailwege be9i Dir, ich habe einen anderen Beitrag von Dir gesehen wo Du hier gefragt hast wie die Mailwege bei Dir sind.
das fürs erste
Gruß
Egbert
Hallo,
danke erst mal für die antworten!
@ Dani, jo du hast hast recht aber ich bin gestern ein wenig in Panik verfallen und hab nicht wirklich drüber nachgedacht. Kommt nicht wieder vor.
Nun zum Problem:
Als erstes ein Ausschnitt aus der Log Datei.
From: postmaster@hstvfw01.hann.muenden.de
To: faicp@ez1000.net
Date: Thu, 31 May 2007 07:11:29 +0200
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann"
X-DSNContext: 7ce717b1 - 1413 - 00000004 - C00402D1
Message-ID: <NjVuMhvqg0000768e@hstvdmzav01.hann.muenden.de>
Subject: Delivery Status Notification (Delay)
This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.
--9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann
Content-Type: text/plain; charset=unicode-1-1-utf-7
This is an automatically generated Delivery Status Notification.
THIS IS A WARNING MESSAGE ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery to the following recipients has been delayed.
rsv2632611@yahoo.com.tw
ssln8434@yahoo.com.tw
sos60916@yahoo.com.tw
vbfpocha@yahoo.com.tw
rubymp5@yahoo.com.tw
subaruvsevo5@yahoo.com.tw
tyc555@yahoo.com.tw
taijishine@yahoo.com.tw
scf3230@yahoo.com.tw
vvv0931884575@yahoo.com.tw
wehwayu@yahoo.com.tw
vovpp@yahoo.com.tw
wer0826@yahoo.com.tw
simonfu83@yahoo.com.tw
tera597491@yahoo.com.tw
w28242001@yahoo.com.tw
wang878872@yahoo.com.tw
v61988770814@yahoo.com.tw
s0910785938@yahoo.com.tw
shan22875@yahoo.com.tw
time@yahoo.com.tw
u2370680@yahoo.com.tw
thebodyshop33@yahoo.com.tw
top0919771878@yahoo.com.tw
vino0814@yahoo.com.tw
weet78@yahoo.com.tw
sharewithyou_tw@yahoo.com.tw
shanda@yahoo.com.tw
waiya0228@yahoo.com.tw
warnliao@yahoo.com.tw
smallfox29@yahoo.com.tw
showbi2002@yahoo.com.tw
tony90085@yahoo.com.tw
silentstep_sd@yahoo.com.tw
weng_s_t@yahoo.com.tw
sfind@yahoo.com.tw
stu90439@yahoo.com.tw
ultraman0290@yahoo.com.tw
saori4624@yahoo.com.tw
suesonin@yahoo.com.tw
whvtw_hr@yahoo.com.tw
summer98449@yahoo.com.tw
sun428.tw@yahoo.com.tw
rjaezpec@yahoo.com.tw
strafwerk@yahoo.com.tw
toro250213@yahoo.com.tw
saul7330@yahoo.com.tw
viragexxx2001@yahoo.com.tw
vernake@yahoo.com.tw
topeggyoyo@yahoo.com.tw
ting908134@yahoo.com.tw
ths0720@yahoo.com.tw
tedmango@yahoo.com.tw
--9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann
Content-Type: message/delivery-status
Reporting-MTA: dns;hstvdmzav01.hann.muenden.de
Received-From-MTA: dns;217.91.64.244
Arrival-Date: Wed, 30 May 2007 16:51:56 +0200
Final-Recipient: rfc822;rsv2632611@yahoo.com.tw
Action: delayed
Status: 4.4.7
Will-Retry-Until: Fri, 1 Jun 2007 16:52:00 +0200
Final-Recipient: rfc822;ssln8434@yahoo.com.tw
Action: delayed
Status: 4.4.7
Will-Retry-Until: Fri, 1 Jun 2007 16:52:00 +020
Ich persönlich kann nur dazu sagen das diese Email Adressen eigentlich hier nichts zu suchen hätten.
@Egbert
ich habe den manuellen Test veruscht durchzuführen aber ab dem "mail from" geht nix mehr.
dann kommt die Fehler Meldung unrecognized parameter "etwas@irgendwas.de"
rctp funktioniert auch nicht
Also die Mail Wege. Es handelt sich hier bei um einen ISA Server mit Windows 2003 Server. Dieser hat den IIS laufen mit nem SMTP Server. In diesem SMTP Server sind 2 Remote Domänen eingebunden. Das sind halt die beiden Exchange Server die in meiner Domäne arbeiten.
Ich habe auch das Gefühl das irgendwo ein Bot sitzt, der die ganze Zeit versucht Emails zu versenden an Adressen die der SMTP Server nicht findet und der dann diese Log Dateien erstellt.
Jemand ne Idee?!?!
MfG
Torben
danke erst mal für die antworten!
@ Dani, jo du hast hast recht aber ich bin gestern ein wenig in Panik verfallen und hab nicht wirklich drüber nachgedacht. Kommt nicht wieder vor.
Nun zum Problem:
Als erstes ein Ausschnitt aus der Log Datei.
From: postmaster@hstvfw01.hann.muenden.de
To: faicp@ez1000.net
Date: Thu, 31 May 2007 07:11:29 +0200
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann"
X-DSNContext: 7ce717b1 - 1413 - 00000004 - C00402D1
Message-ID: <NjVuMhvqg0000768e@hstvdmzav01.hann.muenden.de>
Subject: Delivery Status Notification (Delay)
This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.
--9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann
Content-Type: text/plain; charset=unicode-1-1-utf-7
This is an automatically generated Delivery Status Notification.
THIS IS A WARNING MESSAGE ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery to the following recipients has been delayed.
rsv2632611@yahoo.com.tw
ssln8434@yahoo.com.tw
sos60916@yahoo.com.tw
vbfpocha@yahoo.com.tw
rubymp5@yahoo.com.tw
subaruvsevo5@yahoo.com.tw
tyc555@yahoo.com.tw
taijishine@yahoo.com.tw
scf3230@yahoo.com.tw
vvv0931884575@yahoo.com.tw
wehwayu@yahoo.com.tw
vovpp@yahoo.com.tw
wer0826@yahoo.com.tw
simonfu83@yahoo.com.tw
tera597491@yahoo.com.tw
w28242001@yahoo.com.tw
wang878872@yahoo.com.tw
v61988770814@yahoo.com.tw
s0910785938@yahoo.com.tw
shan22875@yahoo.com.tw
time@yahoo.com.tw
u2370680@yahoo.com.tw
thebodyshop33@yahoo.com.tw
top0919771878@yahoo.com.tw
vino0814@yahoo.com.tw
weet78@yahoo.com.tw
sharewithyou_tw@yahoo.com.tw
shanda@yahoo.com.tw
waiya0228@yahoo.com.tw
warnliao@yahoo.com.tw
smallfox29@yahoo.com.tw
showbi2002@yahoo.com.tw
tony90085@yahoo.com.tw
silentstep_sd@yahoo.com.tw
weng_s_t@yahoo.com.tw
sfind@yahoo.com.tw
stu90439@yahoo.com.tw
ultraman0290@yahoo.com.tw
saori4624@yahoo.com.tw
suesonin@yahoo.com.tw
whvtw_hr@yahoo.com.tw
summer98449@yahoo.com.tw
sun428.tw@yahoo.com.tw
rjaezpec@yahoo.com.tw
strafwerk@yahoo.com.tw
toro250213@yahoo.com.tw
saul7330@yahoo.com.tw
viragexxx2001@yahoo.com.tw
vernake@yahoo.com.tw
topeggyoyo@yahoo.com.tw
ting908134@yahoo.com.tw
ths0720@yahoo.com.tw
tedmango@yahoo.com.tw
--9B095B5ADSN=_01C7A340CA0F355F000010B6hstvdmzav01.hann
Content-Type: message/delivery-status
Reporting-MTA: dns;hstvdmzav01.hann.muenden.de
Received-From-MTA: dns;217.91.64.244
Arrival-Date: Wed, 30 May 2007 16:51:56 +0200
Final-Recipient: rfc822;rsv2632611@yahoo.com.tw
Action: delayed
Status: 4.4.7
Will-Retry-Until: Fri, 1 Jun 2007 16:52:00 +0200
Final-Recipient: rfc822;ssln8434@yahoo.com.tw
Action: delayed
Status: 4.4.7
Will-Retry-Until: Fri, 1 Jun 2007 16:52:00 +020
Ich persönlich kann nur dazu sagen das diese Email Adressen eigentlich hier nichts zu suchen hätten.
@Egbert
ich habe den manuellen Test veruscht durchzuführen aber ab dem "mail from" geht nix mehr.
dann kommt die Fehler Meldung unrecognized parameter "etwas@irgendwas.de"
rctp funktioniert auch nicht
Also die Mail Wege. Es handelt sich hier bei um einen ISA Server mit Windows 2003 Server. Dieser hat den IIS laufen mit nem SMTP Server. In diesem SMTP Server sind 2 Remote Domänen eingebunden. Das sind halt die beiden Exchange Server die in meiner Domäne arbeiten.
Ich habe auch das Gefühl das irgendwo ein Bot sitzt, der die ganze Zeit versucht Emails zu versenden an Adressen die der SMTP Server nicht findet und der dann diese Log Dateien erstellt.
Jemand ne Idee?!?!
MfG
Torben
Hi, der manuelle Test sollte schon so laufen bzw. mit einer Ablehung antworten. Wenn du dich mit Telnet verbindest ist leider der Nachteil, wenn du dich einmal in einer Zeile vertippt hast, und es löscht, wird trotzdem der Command nicht richtig ausgeführt. Am besten langsam und genau hinsehen und sich pro Zeile nicht vertippen, dann funktioniert das ganze, ganz sicher.
Sollte der Server die Nachricht annehmen und nicht verwerfen solltes du dringend die Konfiguration deines Relays überprüfen. Dann hast du auf jeden Fall ein offenes Relay.
Nutze verschieden Virenscanner um deinen Server zu scannen. Derweil gibt es auch schon von diversen Herstellern online Scanner die dir das System wieder säubern. Um die Datenlast abzuarbeiten wäre es vielleicht nicht ganz unsinnig den SMTP-Dienst zu deaktivieren. Dann kannst du in aller Ruhe erstmal die Mails und Logs auswerten bzw. entfernen. Lasse am besten in diesem Status die Virenscanner über den Server laufen.
MfG
sinnlos98
Sollte der Server die Nachricht annehmen und nicht verwerfen solltes du dringend die Konfiguration deines Relays überprüfen. Dann hast du auf jeden Fall ein offenes Relay.
Nutze verschieden Virenscanner um deinen Server zu scannen. Derweil gibt es auch schon von diversen Herstellern online Scanner die dir das System wieder säubern. Um die Datenlast abzuarbeiten wäre es vielleicht nicht ganz unsinnig den SMTP-Dienst zu deaktivieren. Dann kannst du in aller Ruhe erstmal die Mails und Logs auswerten bzw. entfernen. Lasse am besten in diesem Status die Virenscanner über den Server laufen.
MfG
sinnlos98
Hallo,
jap ich hab den SMTP-Dienst angehalten. und erst ma die Mengen an Datein in Ruhe ausgewertet und entfernt. Da sich der ISA Server mit einen Interface in einer DMZ befindet und das andere Interface zur den Exchange geht, hab ich erst ma Interface 2 deaktiviert. Und siehe da, es kamen keine Badmail mehr rein. Also konnte es nicht am ISA Server liegen. Jetzt hab ich den Anti-Spam Dienst, der auf dem Exchange liegt einfach mal neugestartet und seid dem kam nur noch eine Badmail rein. Es war wohl tatsächlich so, dass der ANTI-SPAM Unzustellbarkeitsnachrichten von Spam Nachrichten verschicken wollte und diese eine Endlosschleife ergeben haben. Also seid heute Morgen läuft alles wieder prima, mal schauen obs es so bleibt.
MfG
Torben
jap ich hab den SMTP-Dienst angehalten. und erst ma die Mengen an Datein in Ruhe ausgewertet und entfernt. Da sich der ISA Server mit einen Interface in einer DMZ befindet und das andere Interface zur den Exchange geht, hab ich erst ma Interface 2 deaktiviert. Und siehe da, es kamen keine Badmail mehr rein. Also konnte es nicht am ISA Server liegen. Jetzt hab ich den Anti-Spam Dienst, der auf dem Exchange liegt einfach mal neugestartet und seid dem kam nur noch eine Badmail rein. Es war wohl tatsächlich so, dass der ANTI-SPAM Unzustellbarkeitsnachrichten von Spam Nachrichten verschicken wollte und diese eine Endlosschleife ergeben haben. Also seid heute Morgen läuft alles wieder prima, mal schauen obs es so bleibt.
MfG
Torben
Hallo Torben,
also dein Mail02 relayed nicht auf den mail01 komme ich nicht.
Du solltest übrigens nicht die komplette log mit allen namen veröffentlichen.
dürfen denn alle internen Clients an den SMTP ran? vielleicht hat sich da einer was eingefangen und schleudert jetzt fleißig.
Stopp doch auf dem Exchange malo den SMTP ob der ISA immer noch vollgemüllt wird oder schau in den nachrichtenstatus nach was da passiert.
Und lasse auf den Server auf denen SMTP läuft auch nur die Server zu die SMTP machen dürfen und keine Clients die nichts zu suchen haben.
Gruß
Egbert
also dein Mail02 relayed nicht auf den mail01 komme ich nicht.
Du solltest übrigens nicht die komplette log mit allen namen veröffentlichen.
dürfen denn alle internen Clients an den SMTP ran? vielleicht hat sich da einer was eingefangen und schleudert jetzt fleißig.
Stopp doch auf dem Exchange malo den SMTP ob der ISA immer noch vollgemüllt wird oder schau in den nachrichtenstatus nach was da passiert.
Und lasse auf den Server auf denen SMTP läuft auch nur die Server zu die SMTP machen dürfen und keine Clients die nichts zu suchen haben.
Gruß
Egbert
