07.09.2009, aktualisiert um 09:02:48 Uhr

8142

Relay Problem mit Exchange 2003

NDR-Attacke auf Exchange 2003

Ich hab einen fully-patched-SBS 2003 mit Exchange 2003 und ein massives Relay-Problem, obwohl alle relay-Möglichkeiten deaktiviert sind -> siehe attachments

Das Problem tritt erst seit kurzem auf, aber dafür umso heftiger. Gestern mußte ich über 110.000 Mails eliminieren.....

Bin im Moment ziemlich ratlos und hab den SMTP-Port auf der Firewall deaktiviert, damit der Server nicht abschmiert.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 124331

Url: https://administrator.de/contentid/124331

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

12 Kommentare

Neuester Kommentar

Leider kann man die Attachments nicht finden. Ich vermute mal der Exchange hängt mit einer festen IP direkt im Netz? Auch ist nicht klar woher die Mails kommen Außen oder innen. Evtl. ist auch ein Client gekapert?

Ich würde folgendes machen: Konfigurieren:
1. alle dürfen den SMTP verwenden bis auf folgende Domains / IPs und Netze da hab ich mittlerweile 1000-2000 Einträge drin.
2. ich verwende die Nixspam Liste als Blacklist von heise
3. ich habe Graylisting installiert die Freeversion JEP(S)

Könnte evtl eine Erste Hilfe sein. Dan auf den Cliensts und Server nach bösartiger Software suchen.

hab folgenden Link noch gefunden http://support.microsoft.com/kb/886208/de

Ja, es gibt eine fixe IP-Adresse und die Angriffe kommen von außen. Eine ganze Brigade von Rechnern versucht über den SMTP-Port das relay auszunutzen.

Ich habe auch auf dieser Website (http://www.rbl.jp/svcheck.php) einen relay-Test gemacht, der mit die Relay-Funktion bestätigt hat. Allerdings hab ich es mit einem anderen (ident konfigurierten) Server verglichen, dem keine Relay-Funktion attestiert wird.

Den Artikel hab ich mir schon gestern gegeben. Der hat mir nur beim Löschen der Queue geholfen (hat lächerliche 6 Stunden gedauert).

Die relay-Einstellungen passen!!!!?????

Also Punkt 1 Meiner Vorschläge wäre da das Mittel der Wahl.
Ich würde mit den IP's anfangen die den Angrif machen.
Hier mal noch ein Einblick in meine Liste der Verbote für den Virtuellen Standartserver:
IP Mask
139.82.0.0 225.225.0.0
147.65.0.0 250.250.0.0
146.164.0.0 250.250.0.0
189.0.0.0 250.128.0.0
200.128.0.0 255.128.0.0
88.0.0.0 255.224.0.0
.
.
.

Ich hab mir die danach zusammen gestellt, welche Länder und ISP ich drausen haben wil. Das sind jetzt dann aber Details die man net pauschal festlegen kann. Hab z. B. Brasilianische Telekom gesperrt, diverses aus China und Russland.

Ich hab bei einem Mail-Relay-Test herausgefunden, daß es hier etwas zu tun gibt. Allerdings weiß ich mit dem Ergebnis noch nicht so recht etwas anzufangen.

Mail Relay testing.
Connecting to MAILSERVER for test ...

<<< 220 DOMAIN Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Mon, 7 Sep 2009 09:58:41 +0200

HELO h.rbl.jp

<<< 250 DOMAIN Hello [192.168.1.1]

Relay test 0

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@h.rbl.jp>

<<< 250 2.1.0 rlychk@h.rbl.jp....Sender OK

RCPT TO: <rlytest@rbl.jp>

<<< 250 2.1.5 rlytest@rbl.jp
relay accepted!!

Relay test 1

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk>

<<< 250 2.1.0 rlychk@DOMAIN....Sender OK

RCPT TO: <rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 2

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <>

<<< 250 2.1.0 <>....Sender OK

RCPT TO: <rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 3

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 4

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@[IP]>

<<< 250 2.1.0 rlychk@[IP]....Sender OK

RCPT TO: <rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 5

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <rlytest%h.rbl.jp@MAILSERVER>

<<< 250 2.1.5 rlytest%h.rbl.jp@MAILSERVER
relay accepted!!

Relay test 6

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <rlytest%h.rbl.jp@[IP]>

<<< 250 2.1.5 rlytest%h.rbl.jp@[IP]
relay accepted!!

Relay test 10

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <"rlytest@h.rbl.jp"@MAILSERVER>

<<< 250 2.1.5 "rlytest@h.rbl.jp"@MAILSERVER
relay accepted!!

Relay test 11

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <"rlytest@h.rbl.jp"@[IP]>

<<< 250 2.1.5 "rlytest@h.rbl.jp"@[IP]
relay accepted!!

Relay test 12

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <@MAILSERVER:rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 13

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <@[IP]:rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Relay test 15

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <h.rbl.jp!rlytest@MAILSERVER>

<<< 250 2.1.5 h.rbl.jp!rlytest@MAILSERVER
relay accepted!!

Relay test 16

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@MAILSERVER>

<<< 250 2.1.0 rlychk@MAILSERVER....Sender OK

RCPT TO: <h.rbl.jp!rlytest@[IP]>

<<< 250 2.1.5 h.rbl.jp!rlytest@[IP]
relay accepted!!

Relay test 19

RSET

<<< 250 2.0.0 Resetting

MAIL FROM: <rlychk@localhost>

<<< 250 2.1.0 rlychk@localhost....Sender OK

RCPT TO: <rlytest@h.rbl.jp>

<<< 250 2.1.5 rlytest@h.rbl.jp
relay accepted!!

Closing connection ...

QUIT

<<< 221 2.0.0 DOMAIN Service closing transmission channel

Relay test result
All tests performed, 14 relays accepted.

Hallo bunfried,

sei mir nicht böse, aber ich denke du brauchst einen Fachmann der dir weiterhilft.

Du behauptest das dein Server nicht als relay arbeiten kann. Die von dir vorgelegten Testprotokolle (viel zu lang) sagen es gibt 14 Relays und du fragst jetzt warum? Selbst deine angekündigten "Attachments" hat ausser dir noch keiner gesehen.

Fakten:
Du hast einen SBS 2003 (R2 oder nicht R2).
Fully Patched - Schön, hat aber mit deinem Problem nichts zu tun. Patches helfen nicht gegen relay Betrieb.
Problem erst seit kurzer Zeit - Ich denke schon länger, nur nicht so massiv
110,000 Mails gehen bei dir raus (du vermutest von ausserhalb)
hast Port 25 an der Firewall (welche und wo und welche richtung) gesperrt
Du behauptest Realy nicht möglich - Protokolle und deine Aussage von 09:43 beweisen gegenteiliges.
Postest ein langes protokoll und gibst noch nicht mal einen Kommentar dazu ab. (Warum sollen wir deine Arbeit tun)

das du von Exchange nicht viel verstehst solltest du einsehen.

Dein freund könnte hier sein:
http://technet.microsoft.com/en-us/kb/kb00324958.aspx
http://support.microsoft.com/kb/895853
http://www.msxfaq.de/konzepte/smtprelay.htm
http://www.msxfaq.de/internet/relay2000.htm

Peter

Danke vorweg für die links, die ich mir aber schon alle zu Gemüte geführt habe.

Warum die attachments nicht hochgeladen wurde, entzieht sich meiner Kenntnis. Trotzdem brauche ich keine patzigen Antworten a la "das du von Exchange nicht viel verstehst solltest du einsehen."

Damit die Fakten klar sind. Es handelt sich um einen SBS 2003 (die Bezeichnung nicht r2 hat Microsoft wohl bei der Produkteinführung verabsäumt).
Gepatcht kann durchaus ein Hinweis, falls man sich Schadcode über eine Sicherheitslücke eingeschleust hat.
Von einer Vermutung war nie eine Rede. Eher mehr von relay.
Port 25 sperren bei einem Mailserver wird wohl den inbound betreffen, da Ports nach außen üblicherweise aufgestoßen werden können. Kann man aber ruhig explizit erwähnen.
Von der exchange-Einstellung sind alle Möglichkeiten für relays abgedreht. Gerade den Widerspruch im Protokoll sehe ich als diskussionswürdig an.

Inzwischen habe ich eine Fehlfunktion der Firewall entdeckt, die mit Reaktivierung derselben behoben sein dürfte.

Trotzdem Dank an alle die mir bei der Fehlersuche behilflich waren.

Zitat von @bunfried:

Trotzdem brauche ich keine patzigen Antworten a la "das
du von Exchange nicht viel verstehst solltest du einsehen."

Hallo,
Sie haben es ja nicht mal für nötig empfunden die Tageszeit zu sagen.
Desweiteren sollten sie vllt auch sagen welchen Relay-Test sie verwendet haben. Wir können ja schließlich nicht hellsehen und alle Logs auswendig auch nicht ;) Fürs nächste mal vielleicht merken.

MfG Tobias

Desweiteren sollten sie vllt auch sagen welchen Relay-Test sie
verwendet haben. Wir können ja schließlich nicht hellsehen
und alle Logs auswendig auch nicht ;) Fürs nächste mal
vielleicht merken.

Gute Idee. Auch wenn ich in meinem Post folgendes geschrieben habe:

"Ich habe auch auf dieser Website (http://www.rbl.jp/svcheck.php) einen relay-Test gemacht........."

Hallo bunfried,

Danke vorweg für die links, die ich mir aber schon alle zu
Gemüte geführt habe.

das konnte niemand hier wissen. unsere Glaskugeln sind nicht mehr.

Warum die attachments nicht hochgeladen wurde, entzieht sich meiner
Kenntnis.

Du meinst wirklich attachments und nicht grafiken

Damit die Fakten klar sind. Es handelt sich um einen SBS 2003 (die
Bezeichnung nicht r2 hat Microsoft wohl bei der Produkteinführung
verabsäumt).

Nein. Es steht halt nur nicht auf dem Bildschirm.

Gepatcht kann durchaus ein Hinweis, falls man sich Schadcode
über eine Sicherheitslücke eingeschleust hat.

Da du aber explizit relay als problem nennst, hilft kein patch

Von einer Vermutung war nie eine Rede. Eher mehr von relay.

Also kannst du einen interne Absender 100% ausschliessen

Port 25 sperren bei einem Mailserver wird wohl den inbound betreffen,

Beide richtungen können gesperrt werden.

Von der exchange-Einstellung sind alle Möglichkeiten für
relays abgedreht.

Dann hättest du kein relay problem.

Gerade den Widerspruch im Protokoll sehe ich als
diskussionswürdig an.

Wer soll sich hier kilometerlange Protokolle ansehen und für dich auswerten wenn du zwar deinen Domainnamen entfernst (richtig so) aber die unzutreffenden Formatierung lässt?

Inzwischen habe ich eine Fehlfunktion der Firewall entdeckt, die mit
Reaktivierung derselben behoben sein dürfte.

Was hat das mit relay zu tun?
Läuft bei dir evtl. der ISA 2004?

Hier noch ein hilfe:
http://spamlinks.net/prevent-secure-relay-test.htm#web

habe mal auf einen Mailserver deine angabe http://www.rbl.jp/svcheck.php losgelassen.

3 mal accepted. Das ist in Ordnung. Empfänger ist in der internen Domain, aber unbekannt. Wird eh nicht angenommen.

Da wirft sich eine Frage auf. hast du den Open Relay test von INNERHALB deiner Domäne gemacht?

Peter