florian961988
Goto Top

Missbrauch Exchange?

Hallo liebes Forum,

ich habe mal nee Frage und zwar haben wir die test.de und ich bekomme von unserer Fortigate folgende Meldung:

Message meets Alert condition
Virus/Worm detected: MSIL/GenKryptik.DCAC!tr Protocol: "POP3S" Email Address From: "info@pot.gr" Email Address To: "info@pot.gr"
VIRUS REFERENCE URL: http://www.fortinet.com/ve?vn=MSIL%2FGenKryptik.DCAC%21tr
date=2019-03-19 time=01:31:54 devname=test_fw1 devid=FG100D3G14818993 logid="0211008194" type="utm" subtype="virus" eventtype="infected" level="warning" vd="root" eventtime=1552955514 msg="File is infected." action="blocked" service="POP3S" sessionid=83552358 srcip=192.168.0.112 dstip=134.119.228.56 srcport=15310 dstport=995 srcintf="port3" srcintfrole="undefined" dstintf=wan2 dstintfrole="undefined" policyid=56 proto=6 direction="incoming" filename="Scan Document_pdf.gz" quarskip="File-was-not-quarantined." virus="MSIL/GenKryptik.DCAC!tr" dtype="Virus" ref="http://www.fortinet.com/ve?vn=MSIL%2FGenKryptik.DCAC%21tr" virusid=8010589 profile="Sandbox_inspection_for_all_files" user="b2b" from="info@pot.gr" to="info@pot.gr" recipient="catch@test.de" analyticscksum="472f1ad8a64158b7cdbd32052ce1dc0a1586d82daba5111981bf3b94aa4f306b" analyticssubmit="true" crscore=50 crlevel="critical"


Habe ich nun einen Trojaner auf dem Server oder was könnte das sein?

Content-ID: 430145

Url: https://administrator.de/forum/missbrauch-exchange-430145.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

nepixl
nepixl 19.03.2019 um 10:27:22 Uhr
Goto Top
Hi,

subtype="virus" eventtype="infected" level="warning" vd="root" eventtime=1552955514 msg="File is infected." action="blocked"

ausgehend davon, nein.

Gruß
Florian961988
Florian961988 19.03.2019 um 10:55:52 Uhr
Goto Top
OKAY war mir nicht sicher!

DANKE
marc-1303
marc-1303 19.03.2019 aktualisiert um 11:11:39 Uhr
Goto Top
Hallo Florian

Die Source-IP ist 192.168.0.112
Wenn sich diese bei dir im lokalen Subnetz findet, wäre es sicher nicht falsch, den betreffenden Rechner genauer unter die Lupe zu nehmen.

Deine Fortigate blockt zwar den Versand. Das heisst aber nicht, dass die Quelle nicht verseucht ist.

Grüsse
Marc
117471
117471 19.03.2019 um 14:36:00 Uhr
Goto Top
Hallo,

sicher?

Für mich sieht das eher so aus, als wenn ein lokales Gerät SSL-POP3 macht und versucht, eine E-Mail direkt von einem Server bei Host Europe zu ziehen.

Das kann auch der Exchange-Server sein, wenn er z.B. via POP3 mit einem Catchall-Postfach betankt wird.

Letztendlich würde der Virus geblockt. Die Firewall funktioniert also offenbar face-smile

Gruß,
Jörg
Florian961988
Florian961988 19.03.2019 um 15:17:42 Uhr
Goto Top
ja wir nutzen ein catch all
und sind bei domainfactory
117471
117471 19.03.2019 aktualisiert um 18:21:22 Uhr
Goto Top
Hallo,

dann hast Du deine Antwort ja.

Du solltest die E-Mails, die nicht abgeholt werden, gelegentlich mit dem Webmailer löschen.

Sonst läuft Dir irgendwann das Postfach voll.

Gruß,
Jörg