dahartl
Goto Top

NDR abschalten bei Exchange 2013

Hallo zusammen,

wir haben hier einen Exchange Server 2013 und eingehende Mails an Empfänger, die in unserer Domäne nicht bekannt sind, erhält der
Versende die Antwort, dass dieser nicht vorhanden ist
"550 5.1.1 User unknown"

Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.

Hab es bereits mit

Set-RemoteDomain -Identity Standard -AutoReplyEnabled $false

Probiert.... leider kein Erfolg,

Vielen Dank im Voraus.

daHartl

Content-Key: 310468

Url: https://administrator.de/contentid/310468

Printed on: July 17, 2024 at 19:07 o'clock

Member: St-Andreas
St-Andreas Jul 21, 2016 at 08:58:38 (UTC)
Goto Top
Hallo,


ich persönlich halte das für keine gute Idee, zumindest solange nicht alle eingehenden EMails dann auch tatsächlich in einem CatchAll erfasst werden.

Der Parameter den Du suchst ist: -NDREnabled $false
Member: GuentherH
GuentherH Jul 21, 2016 at 09:11:34 (UTC)
Goto Top
Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.

Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.

Und keine Angst, Brute-Force Attacken sind beim Exchange nicht möglich.

LG Günther
Member: beidermachtvongreyscull
beidermachtvongreyscull Jul 21, 2016 at 10:35:05 (UTC)
Goto Top
Zitat von @GuentherH:

Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.

Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.

Hallo Günther,

ich bin normalerweise derselben Meinung, aber liegt hier nicht das Problem des Backscatters?
Ein Server, der NDRs verschickt würde im entsprechenden Fall u.U. deswegen schnell auf einer Blacklist stehen, oder sehe ich das falsch?

Viele Grüße,
Andreas
Member: GuentherH
GuentherH Jul 21, 2016 at 12:20:59 (UTC)
Goto Top
Bei Backscatter versendet ja nicht der eigene Exchange sondern löst der Angreifer. Dein Exchange erhält nur die NDRs der angegriffenen Mailserver.

Böser Sender mit E-Mail aus deiner Domäne -> sendet an irgendwen@xy.de -> irgendwen@xy.de existiert nicht und dessen Mailserver sendet NDR an deinen Exchange.

Backscatter, also die NDR fängt man normalerweise ab mit einer Regel am SPAM Filter -> Lösche Mails mit meiner Domäne, die nicht aus dem internen Netz stammen sondern aus dem Internet stammen.

LG Günther
Member: daHartl
daHartl Jul 21, 2016 at 13:19:19 (UTC)
Goto Top
Vielen Dank für eure Antworten.

Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs.
Und ja, durch die zigtausenden Anfragen standen wir gleich auf der Blacklist unseres Hosters, der uns gleich für ein paar Stunden gesperrt hat.

Die Schwierigkeit darin besteht, dass der Absender nicht eine @unseredomain hat, sondern zig unterschiedliche.

daHartl
Member: AndiEoh
AndiEoh Jul 21, 2016 at 14:08:27 (UTC)
Goto Top
Der erste in eurem Einflussbereich befindliche SMTP Server (MX) muss den Empfänger prüfen und falls nicht vorhanden die Tür zuschlagen. Alles andere ist Mist. So wie es sich anhört nimmt euer Hoster erstmal alles @deinedomain an und leitet es dann an euch weiter, das ist Technik aus der Prä-Spam Ära.

Also auf dem MX Empfänger prüfen und falls nicht vorhanden ein Reject, dann muss, falls es ein echter Absender ist, der !Sender! den NDR erzeugen und Ihr habt eine reine Weste.

Alles andere ist Murks.

Gruß

Andi
Member: daHartl
daHartl Jul 21, 2016 at 14:16:15 (UTC)
Goto Top
Da wir nur einen Server haben und per MX ja alles an uns weiter geleitet wird, muss das wohl auch auf dem Server geschehen face-sad.
Member: AndiEoh
AndiEoh Jul 21, 2016 at 14:26:31 (UTC)
Goto Top
Die Empfänger Prüfung muss auf dem als MX im DNS hinterlegten Server(n) passieren. Bei nichtgefallen wird nicht angenommen. Wenn Ihr das so macht versendet Ihr keinerlei Backscatter und die Anzahl der Verbindung geht euren Hoster gar nix an.
Wenn allerdings euer Hoster erstmal alles für euch annimmt und dann selbst die Bounces verschicken muss wird er sicher nicht glücklich damit werden und ihr auch nicht.

Gruß

Andi
Member: GuentherH
GuentherH Jul 21, 2016 updated at 15:23:03 (UTC)
Goto Top
Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs

Du meinst Harvester, oder? Das ist aber komplett etwas anderes wie eine Backscatter Attacke. Was ist jetzt also bei euch genau geschehen?

standen wir gleich auf der Blacklist unseres Hosters

Was verstehst du unter Hoster genau? Wird dort eure Domain gehostet oder bezieht ihr über den Hoster den Internetzugang?
Und was hat der Hoster genau gemacht? Euren E-Mail Verkehr gesperrt?

LG Günther
Member: daHartl
daHartl Jul 22, 2016 at 06:23:18 (UTC)
Goto Top
Servus und Danke für`s Annehmen meiner Problematik und die Zeit dafür Lösungen zu präsentieren.

Unser Hoster ist strato, bei dem liegt auch unsere Website.
Über eine Subdomain "mail.domain.com", bei weilcher unsere festen WAN-IP hinterlegt ist,
werden "ALLE" Mails über den MX-Eintrag zu uns geschickt.

Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".

Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.

Dieser blockiert den Versand ab 200 Mails pro Minute. Somit sind wir dann für rund 4h gesperrt und können keine Mails verschicken... empfangen ja.

da Hartl.
Member: GuentherH
GuentherH Jul 22, 2016 at 14:40:31 (UTC)
Goto Top
Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".

Das ist ja auch korrekt so

Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.

Das hat jetzt nichts mit Backscatter zu tun, da hier keine NDRs generiert werden, sondern euer Exchange mit NDRs zugemüllt wird.

Um hier weitere Aussagen treffen zu können müsste man Konfiguration des Mailflusses genauer kennen. Wie z.B. gibt es vor dem Exchange einen Mailproxy, welche Filter sind beim Echange aktiv usw?
Ist es wirklich der Exchange, der hier Müll versendet, gibt es auf der Firwall ausgehend eine Sperre für die Clients auf Port 25 uvam.

LG Günther