Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NDR abschalten bei Exchange 2013

Mitglied: daHartl

daHartl (Level 1) - Jetzt verbinden

21.07.2016, aktualisiert 10:46 Uhr, 4553 Aufrufe, 11 Kommentare

Hallo zusammen,

wir haben hier einen Exchange Server 2013 und eingehende Mails an Empfänger, die in unserer Domäne nicht bekannt sind, erhält der
Versende die Antwort, dass dieser nicht vorhanden ist
"550 5.1.1 User unknown"

Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.

Hab es bereits mit

Probiert.... leider kein Erfolg,

Vielen Dank im Voraus.

daHartl
Mitglied: St-Andreas
21.07.2016 um 10:58 Uhr
Hallo,


ich persönlich halte das für keine gute Idee, zumindest solange nicht alle eingehenden EMails dann auch tatsächlich in einem CatchAll erfasst werden.

Der Parameter den Du suchst ist: -NDREnabled $false
Bitte warten ..
Mitglied: GuentherH
21.07.2016 um 11:11 Uhr
Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.

Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.

Und keine Angst, Brute-Force Attacken sind beim Exchange nicht möglich.

LG Günther
Bitte warten ..
Mitglied: beidermachtvongreyscull
21.07.2016 um 12:35 Uhr
Zitat von GuentherH:

Möchte nun diese Funktion deaktivieren, so dass niemand eine solche Meldung bekommt.

Lasse die Finger davon. Erstens ist es nicht RFC konform, du könntest die an anderer Stelle Probleme bekommen und zweitens soll ja ein Absender einen NDR bekommen, wenn er die Empfängeradresse falsch geschrieben hat.

Hallo Günther,

ich bin normalerweise derselben Meinung, aber liegt hier nicht das Problem des Backscatters?
Ein Server, der NDRs verschickt würde im entsprechenden Fall u.U. deswegen schnell auf einer Blacklist stehen, oder sehe ich das falsch?

Viele Grüße,
Andreas
Bitte warten ..
Mitglied: GuentherH
21.07.2016 um 14:20 Uhr
Bei Backscatter versendet ja nicht der eigene Exchange sondern löst der Angreifer. Dein Exchange erhält nur die NDRs der angegriffenen Mailserver.

Böser Sender mit E-Mail aus deiner Domäne -> sendet an irgendwen@xy.de -> irgendwen@xy.de existiert nicht und dessen Mailserver sendet NDR an deinen Exchange.

Backscatter, also die NDR fängt man normalerweise ab mit einer Regel am SPAM Filter -> Lösche Mails mit meiner Domäne, die nicht aus dem internen Netz stammen sondern aus dem Internet stammen.

LG Günther
Bitte warten ..
Mitglied: daHartl
21.07.2016 um 15:19 Uhr
Vielen Dank für eure Antworten.

Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs.
Und ja, durch die zigtausenden Anfragen standen wir gleich auf der Blacklist unseres Hosters, der uns gleich für ein paar Stunden gesperrt hat.

Die Schwierigkeit darin besteht, dass der Absender nicht eine @unsereDomain hat, sondern zig unterschiedliche.

daHartl
Bitte warten ..
Mitglied: AndiEoh
21.07.2016 um 16:08 Uhr
Der erste in eurem Einflussbereich befindliche SMTP Server (MX) muss den Empfänger prüfen und falls nicht vorhanden die Tür zuschlagen. Alles andere ist Mist. So wie es sich anhört nimmt euer Hoster erstmal alles @deineDomain an und leitet es dann an euch weiter, das ist Technik aus der Prä-Spam Ära.

Also auf dem MX Empfänger prüfen und falls nicht vorhanden ein Reject, dann muss, falls es ein echter Absender ist, der !Sender! den NDR erzeugen und Ihr habt eine reine Weste.

Alles andere ist Murks.

Gruß

Andi
Bitte warten ..
Mitglied: daHartl
21.07.2016 um 16:16 Uhr
Da wir nur einen Server haben und per MX ja alles an uns weiter geleitet wird, muss das wohl auch auf dem Server geschehen .
Bitte warten ..
Mitglied: AndiEoh
21.07.2016 um 16:26 Uhr
Die Empfänger Prüfung muss auf dem als MX im DNS hinterlegten Server(n) passieren. Bei nichtgefallen wird nicht angenommen. Wenn Ihr das so macht versendet Ihr keinerlei Backscatter und die Anzahl der Verbindung geht euren Hoster gar nix an.
Wenn allerdings euer Hoster erstmal alles für euch annimmt und dann selbst die Bounces verschicken muss wird er sicher nicht glücklich damit werden und ihr auch nicht.

Gruß

Andi
Bitte warten ..
Mitglied: GuentherH
21.07.2016, aktualisiert um 17:23 Uhr
Wir wurden in den letzten drei Tagen zweimal Opfer eines sog. Havester-Angriffs

Du meinst Harvester, oder? Das ist aber komplett etwas anderes wie eine Backscatter Attacke. Was ist jetzt also bei euch genau geschehen?

standen wir gleich auf der Blacklist unseres Hosters

Was verstehst du unter Hoster genau? Wird dort eure Domain gehostet oder bezieht ihr über den Hoster den Internetzugang?
Und was hat der Hoster genau gemacht? Euren E-Mail Verkehr gesperrt?

LG Günther
Bitte warten ..
Mitglied: daHartl
22.07.2016 um 08:23 Uhr
Servus und Danke für`s Annehmen meiner Problematik und die Zeit dafür Lösungen zu präsentieren.

Unser Hoster ist strato, bei dem liegt auch unsere Website.
Über eine Subdomain "mail.domain.com", bei weilcher unsere festen WAN-IP hinterlegt ist,
werden "ALLE" Mails über den MX-Eintrag zu uns geschickt.

Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".

Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.

Dieser blockiert den Versand ab 200 Mails pro Minute. Somit sind wir dann für rund 4h gesperrt und können keine Mails verschicken... empfangen ja.

da Hartl.
Bitte warten ..
Mitglied: GuentherH
22.07.2016 um 16:40 Uhr
Nun nehmen wir ja diese Mails alle an und wenn eben eine Mailadresse bei uns nicht hinterlegt ist, generiert unser
Exchange Server ja ne Unzustellbarkeitsnachricht, "550 5.1.1 Unknown User".

Das ist ja auch korrekt so

Da in einem sehr kurzen Zeitraum (aktuell rund 5min) 10'000de solcher Mails mit verschiedensten Versenderadressen bei uns
aufschlagen, beantworten wir auch alle und möchten diese Antworten über SMTP über Strato verschicken.

Das hat jetzt nichts mit Backscatter zu tun, da hier keine NDRs generiert werden, sondern euer Exchange mit NDRs zugemüllt wird.

Um hier weitere Aussagen treffen zu können müsste man Konfiguration des Mailflusses genauer kennen. Wie z.B. gibt es vor dem Exchange einen Mailproxy, welche Filter sind beim Echange aktiv usw?
Ist es wirklich der Exchange, der hier Müll versendet, gibt es auf der Firwall ausgehend eine Sperre für die Clients auf Port 25 uvam.

LG Günther
Bitte warten ..
Ähnliche Inhalte
Exchange Server
NDR umleiten
Frage von isomasterExchange Server10 Kommentare

Hallo Kollege, ich habe ein Problem mit dem Exchange Server. Wir haben unsere info@ Adresse als Verteilergruppe eingebunden (so ...

Exchange Server

Microsoft Exchange 2013 - Absendezeitpunkt der NDR-Meldungen (Diagnoseinformationen für Administratoren)

gelöst Frage von zimbomanExchange Server3 Kommentare

Hallo zusammen, Wir haben einen Kunden, der in unregelmäßigen Abständen folgenden und ähnliche Fehler vom eigenen Netzinternen Exchange-Server erhält: ...

Exchange Server

Exchange 2010: Empfangen von NDR in öffentlichen Ordner

Frage von agsurferExchange Server2 Kommentare

Hallo, ist es möglich NDR's in einem öffentlichen Ordern (mail aktiv) zu empfangen? Mein aktuelles Problem liegt darin, dass ...

Exchange Server

Exchange 2016 mit mehreren Domänen - NDR pro Domän möglich?

Frage von skibbyExchange Server4 Kommentare

Hallo zusammen, wir nutzen einen EXCH2016 auf dem mehrere Domänen laufen. Das versenden und empfangen von Mails über die ...

Neue Wissensbeiträge
Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 10 StundenWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Informationsdienste

Beendet: Timo Wölken und Julia Reda reden jetzt live auf Twitch über Uploadfilter, Rezo, Trump und Twitter

Information von Frank vor 11 StundenInformationsdienste

Wer Interesse zum kommenden Uploadfilter, Rezo, Trump und Twitter hat, kann nun unter twitch.tv der Diskussion beitreten: 03.06.2020 ab ...

Windows 10
Windows2Go ist nun scheintot
Information von DerWoWusste vor 14 StundenWindows 10

Microsoft hat mit Win10 v2004 Windows to go entfernt (sprich: der eingebaute Wizard zur Erstellung wurde entfernt). Wer weiterhin ...

iOS
IOS iPadOS 13.5.1 erschienen
Information von sabines vor 21 StundeniOS

Recht kurz nach iOS 13.5.0 ist gestern iOS/iPadOS in der Version 13.5.1 für IPhone und IPad erschienen. Es schließt ...

Heiß diskutierte Inhalte
Informationsdienste
Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen
Information von FrankInformationsdienste61 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...

Netzwerkgrundlagen
Um welches Kabel handelt es sich?
gelöst Frage von Frodo.FFNetzwerkgrundlagen20 Kommentare

Hallo liebe Gemeinde, im neu erworbenen Haus, knapp 20 Jahre alt, sind im Heizungskeller als auch in den Räumen ...

Microsoft Office
Exchange Kennwort geändert
gelöst Frage von jensgebkenMicrosoft Office20 Kommentare

Hallo Gemeinschaft, habe mein Exchange Kennwort geändert - wo kann ich diese Kennwortänderung bei Outlook eintragen - bei Kontoeinstellungen ...

LAN, WAN, Wireless
Mehrere SSIDs auf einem AP
gelöst Frage von yamaha0815LAN, WAN, Wireless16 Kommentare

Hallo zusammen, ich stoße im Moment mit den APs von Unifi/Ubiquity an Grenzen. Es geht um folgendes: In einem ...