Logging bei Exchange 2013
Hallo Leute,
ich habe eine kleine Frage zum Logging von Exchange 2013.
Zur Vorgeschichte: unser IPS hat ungewöhnliche/gefährliche DNS-Anfragen aus unserem Netzwerk erkannt, geblockt und uns als Warnmeldung gemeldet.
Ich habe die DNS-Server -Logs soweit es geht durchsucht und mir ist dabei aufgefallen, dass wohl das SMTP-Gateway an die internen DNS-Server die Anfragen gestellt hat.
Das SMTP-Gateway hat versucht die Mail zu versenden. Das Gateway hat also bei den internen DNS-Servern nach den MX-Adressen für die Mail-Domain gefragt.
Die internen DNS-Server "befragen" das Internet....diese Anfragen wurden vom IPS geblockt -> das GW bekommt keine IP-Adresse zurück und kann die Mail nicht zustellen - desweitern ist die Mail dann aus dem Spool geflogen.
Im Log des Gateway's kann ich leider keinen Eintrag finden - der Spool wird nicht geloggt...
Die Vorstufe zum SMTP-Gateway ist unserer Exchange 2013 (das Gateway nimmt nur von diesem E-Mails an). Wo kann ich dort den Weg der Mail nachvollziehen? Irgendwie finde ich keine passenden Log-Dateien....
ich habe eine kleine Frage zum Logging von Exchange 2013.
Zur Vorgeschichte: unser IPS hat ungewöhnliche/gefährliche DNS-Anfragen aus unserem Netzwerk erkannt, geblockt und uns als Warnmeldung gemeldet.
Ich habe die DNS-Server -Logs soweit es geht durchsucht und mir ist dabei aufgefallen, dass wohl das SMTP-Gateway an die internen DNS-Server die Anfragen gestellt hat.
Das SMTP-Gateway hat versucht die Mail zu versenden. Das Gateway hat also bei den internen DNS-Servern nach den MX-Adressen für die Mail-Domain gefragt.
Die internen DNS-Server "befragen" das Internet....diese Anfragen wurden vom IPS geblockt -> das GW bekommt keine IP-Adresse zurück und kann die Mail nicht zustellen - desweitern ist die Mail dann aus dem Spool geflogen.
Im Log des Gateway's kann ich leider keinen Eintrag finden - der Spool wird nicht geloggt...
Die Vorstufe zum SMTP-Gateway ist unserer Exchange 2013 (das Gateway nimmt nur von diesem E-Mails an). Wo kann ich dort den Weg der Mail nachvollziehen? Irgendwie finde ich keine passenden Log-Dateien....
Please also mark the comments that contributed to the solution of the article
Content-Key: 275166
Url: https://administrator.de/contentid/275166
Printed on: May 4, 2024 at 12:05 o'clock
5 Comments
Latest comment
Moin.
Weil normale DNS-Anfragen aus dem internen Netz sollten normalerweise problemlos durchgehen, deswegen meine Vermutung das die Appliance da eventuell eine Blacklist führt.
Gruß jodel32
Wenn ich über nslookup den A-Record der Domain abfrage, springt das IPS wieder an.
Nur eine Vermutung: Vielleicht eine Blacklist die die Sophos da führt ?Weil normale DNS-Anfragen aus dem internen Netz sollten normalerweise problemlos durchgehen, deswegen meine Vermutung das die Appliance da eventuell eine Blacklist führt.
Gruß jodel32
Zitat von @Philipp711:
Nochmal zur eigentlichen Frage: Kann ich auf dem Exchange irgendwie sehen "wer" die Mail an mozaconergy.pw bzw.
mojotowngear.pw schicken wollte??
Ja, in den TransportLogs des ExchangeNochmal zur eigentlichen Frage: Kann ich auf dem Exchange irgendwie sehen "wer" die Mail an mozaconergy.pw bzw.
mojotowngear.pw schicken wollte??
https://technet.microsoft.com/en-us/library/dd302434(v=exchg.150).aspx