eisern
Goto Top

Mailserversperrung durch Spamversand

Hallo,

ich benötige mal Hilfe bezüglich eines angeblichen Trojaners welcher massenhaft Mails über uns versendet.

Wir haben einen W2k3 SBS mit Exchange, der über eine statische IP erreichbar ist. Gestern habe ich PopCon und McAfee SpamKiller installiert und auch konfiguriert um die hier ankommenden Spam Mails (ca. 400 am Tag) entsprechend zu bekämpfen. Erste Test laufen auch sehr vielversprechend.
Irgendwie können wir jedoch seit gestern keine Mails versenden. Lediglich der Versand an Mailempfänger in der eigenen Domain funktioniert.

Da es sich mit der Installation von PopCon und des SpamKillers überschnitten hat, habe ich hier testweise alle entsprechenden Dienste deaktiviert. Wir erhielten immer die Fehlermeldung "Ihr Mailsserver wurde aufgrund von DoS/Spam temp. gesperrt."

Ein Anruf beim Provider brachte dann die Aussage das bei ihm unsere IP gesperrt wurde, da hier ungewöhnlich viele Mails versendet wurden. Es viel das Wort Trojaner.

Daraufhin aktualisierte ich unseren Virenscanner (McAfee VirusScan Enterprise 8.5.0i) und startet einen Komplettscan. Ebenso machte ich einen Kaspersky OnlineScan. Beide Scans waren ohne Befund. HijackThis brachte auch keine negativen Einträge.

Was kann ich noch machen um zu prüfen ob hier was geschieht, was sich meiner Kenntnis entzieht?

Auf dem Bereich mit abhören von Ports oder so, habe ich überhaupt keine Ahnung.

Was ich noch liefern könnte wäre ein Protokoll des LokalPortScanners.

Vielen Dank für jegliche Unterstützung.

MfG aus Berlin

Tom

Content-ID: 94979

Url: https://administrator.de/contentid/94979

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

DocDOS
DocDOS 21.08.2008 um 11:33:17 Uhr
Goto Top
Hallo,

so, wie das klingt, scheint ein Client bei euch sich so einen Trojaner gefangen zu haben. Überprüf mal die Logs, ob jemand unnatürlich viele Mails bei euch versendet.

prüf auch mal die Möglichkeit, ob du den Mailversand über eine andere statische IP abwickeln kannst (meistens bieten die S-DSL, bzw. InterConnect-Anbieter 5-8 statische IPs an); zumindest müsste dann der Mailversand fürs Erste wieder funktionieren.
Dann den Provider anrufen und ihn über diesen Zustand informieren, vielleicht können die Dir da schon weiterhelfen, bez. Entsperrung.

Unser Unternehmen hat für den Spam-Ein- und -Ausgang Kaspersky Hosted Security gewählt, sehr gut, schnell und zuverlässig. Die Mails werden außerhalb eurer Organisation bereits gefiltert, und ein "Outbreak" in dem Fall schon verhindert, weil als Smart-Host KHSS eingetragen ist. Deine Firewall stellst Du dann nur so ein, daß Port 25 nur für die KHSS-IPs erreichbar ist.. somit ist auch die Spam-Schleudergefahr gebannt.

mfg
DocDOS
Eisern
Eisern 21.08.2008 um 11:47:16 Uhr
Goto Top
Hallo und Danke für die Unterstützung,

leider habe ich keinen Plan wie ich die Logs auf Mailversand prüfen kann.
Wo mache ich das?

Mit dem Provider habe ich gesprochen, wenn ich der Meinung bin das alles ok ist, entsperren die das wieder. Nach 3maligen Sperren allerdings wird es schwer wieder zu entsperren, deshalb wollte ich erstmal genau prüfen, auch wenn es innerhalb von 2 Jahren erst die erste Sperrung ist.

MfG
Tom
DocDOS
DocDOS 21.08.2008 um 12:05:04 Uhr
Goto Top
Hallo Tom,

ich hab hier etwas gefunden: http://www.computerperformance.co.uk/exchange2003/exchange2003_logs_SMT ... ist zwar in englisch, könnte dir aber bei deinem Problem enorm helfen. Das Programm ist kostenlos, musst Dich nur registrieren.

am einfachsten und schnellsten für Dich jetzt düfte es sein, die Logfiles mit Excel zu analysieren. Wie das geht, erfährst du hier: http://www.msexchange.org/tutorials/Logging_the_SMTP_Service.html (leider auch wieder in englisch)

Ich hoffe, es hilft Dir ein wenig
x3n0n-pc
x3n0n-pc 22.09.2008 um 08:49:52 Uhr
Goto Top
Hallo Tom,

also ich finde die Sache mit dem Massenmail-Versand riecht nach Bot oder Wurm. Weniger nach Trojaner.

Inspizier natürlich erstmal die Log-Files. Sollte es ein Bot sein, dann wundere dich allerdings nicht wenn euer halbes LAN infiltriert ist. Diese Mistviecher spreaden wie verrückt. Nicht nur per E-Mail. Auch per Exploits im LAN und WAN. Zudem könnten die betroffenen Rechner z.B. als Zombie für einen DDoS-Angriff genutzt werden.

Dann hättet ihr wieder die Sperre.

Also guck dir bitte, bitte das Log-File an und wenn der Angriff von mehreren PCs kommt und dein Antiviren Scanner den nicht geklöscht kriegt (nutze auch Rootkit-Scanner, sind beliebt in dem Bereich) dann formatier die infizierten Rechner sonst wirst das Problem nie los.

mfg Daniel