11
NDR abschalten bei Exchange 2013
Hallo zusammen,
wir haben hier einen Exchange Server 2013 und eingehende Mails an Empfänger, die in unserer Domäne nicht bekannt sind, erhält der
Versende die Antwort, dass dieser nicht vorhanden ist
"550 5.1.1 User unknown"
Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.
Hab es bereits mit
Probiert.... leider kein Erfolg,
Vielen Dank im Voraus.
daHartl
wir haben hier einen Exchange Server 2013 und eingehende Mails an Empfänger, die in unserer Domäne nicht bekannt sind, erhält der
Versende die Antwort, dass dieser nicht vorhanden ist
"550 5.1.1 User unknown"
Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.
Hab es bereits mit
Set-RemoteDomain -Identity Standard -AutoReplyEnabled $falseProbiert.... leider kein Erfolg,
Vielen Dank im Voraus.
daHartl
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310468
Url: https://administrator.de/contentid/310468
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
ich persönlich halte das für keine gute Idee, zumindest solange nicht alle eingehenden EMails dann auch tatsächlich in einem CatchAll erfasst werden.
Der Parameter den Du suchst ist: -NDREnabled $false
ich persönlich halte das für keine gute Idee, zumindest solange nicht alle eingehenden EMails dann auch tatsächlich in einem CatchAll erfasst werden.
Der Parameter den Du suchst ist: -NDREnabled $false
Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.
Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.
Und keine Angst, Brute-Force Attacken sind beim Exchange nicht möglich.
LG Günther
Zitat von @GuentherH:
Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.
Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.
Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.
Hallo Günther,
ich bin normalerweise derselben Meinung, aber liegt hier nicht das Problem des Backscatters?
Ein Server, der NDRs verschickt würde im entsprechenden Fall u.U. deswegen schnell auf einer Blacklist stehen, oder sehe ich das falsch?
Viele Grüße,
Andreas
Bei Backscatter versendet ja nicht der eigene Exchange sondern löst der Angreifer. Dein Exchange erhält nur die NDRs der angegriffenen Mailserver.
Böser Sender mit E-Mail aus deiner Domäne -> sendet an irgendwen@xy.de -> irgendwen@xy.de existiert nicht und dessen Mailserver sendet NDR an deinen Exchange.
Backscatter, also die NDR fängt man normalerweise ab mit einer Regel am SPAM Filter -> Lösche Mails mit meiner Domäne, die nicht aus dem internen Netz stammen sondern aus dem Internet stammen.
LG Günther
Böser Sender mit E-Mail aus deiner Domäne -> sendet an irgendwen@xy.de -> irgendwen@xy.de existiert nicht und dessen Mailserver sendet NDR an deinen Exchange.
Backscatter, also die NDR fängt man normalerweise ab mit einer Regel am SPAM Filter -> Lösche Mails mit meiner Domäne, die nicht aus dem internen Netz stammen sondern aus dem Internet stammen.
LG Günther
Vielen Dank für eure Antworten.
Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs.
Und ja, durch die zigtausenden Anfragen standen wir gleich auf der Blacklist unseres Hosters, der uns gleich für ein paar Stunden gesperrt hat.
Die Schwierigkeit darin besteht, dass der Absender nicht eine @unseredomain hat, sondern zig unterschiedliche.
daHartl
Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs.
Und ja, durch die zigtausenden Anfragen standen wir gleich auf der Blacklist unseres Hosters, der uns gleich für ein paar Stunden gesperrt hat.
Die Schwierigkeit darin besteht, dass der Absender nicht eine @unseredomain hat, sondern zig unterschiedliche.
daHartl
Der erste in eurem Einflussbereich befindliche SMTP Server (MX) muss den Empfänger prüfen und falls nicht vorhanden die Tür zuschlagen. Alles andere ist Mist. So wie es sich anhört nimmt euer Hoster erstmal alles @deinedomain an und leitet es dann an euch weiter, das ist Technik aus der Prä-Spam Ära.
Also auf dem MX Empfänger prüfen und falls nicht vorhanden ein Reject, dann muss, falls es ein echter Absender ist, der !Sender! den NDR erzeugen und Ihr habt eine reine Weste.
Alles andere ist Murks.
Gruß
Andi
Also auf dem MX Empfänger prüfen und falls nicht vorhanden ein Reject, dann muss, falls es ein echter Absender ist, der !Sender! den NDR erzeugen und Ihr habt eine reine Weste.
Alles andere ist Murks.
Gruß
Andi
Da wir nur einen Server haben und per MX ja alles an uns weiter geleitet wird, muss das wohl auch auf dem Server geschehen 
.
.
Die Empfänger Prüfung muss auf dem als MX im DNS hinterlegten Server(n) passieren. Bei nichtgefallen wird nicht angenommen. Wenn Ihr das so macht versendet Ihr keinerlei Backscatter und die Anzahl der Verbindung geht euren Hoster gar nix an.
Wenn allerdings euer Hoster erstmal alles für euch annimmt und dann selbst die Bounces verschicken muss wird er sicher nicht glücklich damit werden und ihr auch nicht.
Gruß
Andi
Wenn allerdings euer Hoster erstmal alles für euch annimmt und dann selbst die Bounces verschicken muss wird er sicher nicht glücklich damit werden und ihr auch nicht.
Gruß
Andi
Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs
Du meinst Harvester, oder? Das ist aber komplett etwas anderes wie eine Backscatter Attacke. Was ist jetzt also bei euch genau geschehen?
standen wir gleich auf der Blacklist unseres Hosters
Was verstehst du unter Hoster genau? Wird dort eure Domain gehostet oder bezieht ihr über den Hoster den Internetzugang?
Und was hat der Hoster genau gemacht? Euren E-Mail Verkehr gesperrt?
LG Günther
Servus und Danke für`s Annehmen meiner Problematik und die Zeit dafür Lösungen zu präsentieren.
Unser Hoster ist strato, bei dem liegt auch unsere Website.
Über eine Subdomain "mail.domain.com", bei weilcher unsere festen WAN-IP hinterlegt ist,
werden "ALLE" Mails über den MX-Eintrag zu uns geschickt.
Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".
Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.
Dieser blockiert den Versand ab 200 Mails pro Minute. Somit sind wir dann für rund 4h gesperrt und können keine Mails verschicken... empfangen ja.
da Hartl.
Unser Hoster ist strato, bei dem liegt auch unsere Website.
Über eine Subdomain "mail.domain.com", bei weilcher unsere festen WAN-IP hinterlegt ist,
werden "ALLE" Mails über den MX-Eintrag zu uns geschickt.
Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".
Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.
Dieser blockiert den Versand ab 200 Mails pro Minute. Somit sind wir dann für rund 4h gesperrt und können keine Mails verschicken... empfangen ja.
da Hartl.
Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".
Das ist ja auch korrekt so
Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.
Das hat jetzt nichts mit Backscatter zu tun, da hier keine NDRs generiert werden, sondern euer Exchange mit NDRs zugemüllt wird.
Um hier weitere Aussagen treffen zu können müsste man Konfiguration des Mailflusses genauer kennen. Wie z.B. gibt es vor dem Exchange einen Mailproxy, welche Filter sind beim Echange aktiv usw?
Ist es wirklich der Exchange, der hier Müll versendet, gibt es auf der Firwall ausgehend eine Sperre für die Clients auf Port 25 uvam.
LG Günther
