Relay Problem mit Exchange 2003
NDR-Attacke auf Exchange 2003
Ich hab einen fully-patched-SBS 2003 mit Exchange 2003 und ein massives Relay-Problem, obwohl alle relay-Möglichkeiten deaktiviert sind -> siehe attachments
Das Problem tritt erst seit kurzem auf, aber dafür umso heftiger. Gestern mußte ich über 110.000 Mails eliminieren.....
Bin im Moment ziemlich ratlos und hab den SMTP-Port auf der Firewall deaktiviert, damit der Server nicht abschmiert.
Ich hab einen fully-patched-SBS 2003 mit Exchange 2003 und ein massives Relay-Problem, obwohl alle relay-Möglichkeiten deaktiviert sind -> siehe attachments
Das Problem tritt erst seit kurzem auf, aber dafür umso heftiger. Gestern mußte ich über 110.000 Mails eliminieren.....
Bin im Moment ziemlich ratlos und hab den SMTP-Port auf der Firewall deaktiviert, damit der Server nicht abschmiert.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124331
Url: https://administrator.de/forum/relay-problem-mit-exchange-2003-124331.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
12 Kommentare
Neuester Kommentar
Leider kann man die Attachments nicht finden. Ich vermute mal der Exchange hängt mit einer festen IP direkt im Netz? Auch ist nicht klar woher die Mails kommen Außen oder innen. Evtl. ist auch ein Client gekapert?
Ich würde folgendes machen: Konfigurieren:
1. alle dürfen den SMTP verwenden bis auf folgende Domains / IPs und Netze da hab ich mittlerweile 1000-2000 Einträge drin.
2. ich verwende die Nixspam Liste als Blacklist von heise
3. ich habe Graylisting installiert die Freeversion JEP(S)
Könnte evtl eine Erste Hilfe sein. Dan auf den Cliensts und Server nach bösartiger Software suchen.
Ich würde folgendes machen: Konfigurieren:
1. alle dürfen den SMTP verwenden bis auf folgende Domains / IPs und Netze da hab ich mittlerweile 1000-2000 Einträge drin.
2. ich verwende die Nixspam Liste als Blacklist von heise
3. ich habe Graylisting installiert die Freeversion JEP(S)
Könnte evtl eine Erste Hilfe sein. Dan auf den Cliensts und Server nach bösartiger Software suchen.
hab folgenden Link noch gefunden http://support.microsoft.com/kb/886208/de
Also Punkt 1 Meiner Vorschläge wäre da das Mittel der Wahl.
Ich würde mit den IP's anfangen die den Angrif machen.
Hier mal noch ein Einblick in meine Liste der Verbote für den Virtuellen Standartserver:
IP Mask
139.82.0.0 225.225.0.0
147.65.0.0 250.250.0.0
146.164.0.0 250.250.0.0
189.0.0.0 250.128.0.0
200.128.0.0 255.128.0.0
88.0.0.0 255.224.0.0
.
.
.
Ich hab mir die danach zusammen gestellt, welche Länder und ISP ich drausen haben wil. Das sind jetzt dann aber Details die man net pauschal festlegen kann. Hab z. B. Brasilianische Telekom gesperrt, diverses aus China und Russland.
Ich würde mit den IP's anfangen die den Angrif machen.
Hier mal noch ein Einblick in meine Liste der Verbote für den Virtuellen Standartserver:
IP Mask
139.82.0.0 225.225.0.0
147.65.0.0 250.250.0.0
146.164.0.0 250.250.0.0
189.0.0.0 250.128.0.0
200.128.0.0 255.128.0.0
88.0.0.0 255.224.0.0
.
.
.
Ich hab mir die danach zusammen gestellt, welche Länder und ISP ich drausen haben wil. Das sind jetzt dann aber Details die man net pauschal festlegen kann. Hab z. B. Brasilianische Telekom gesperrt, diverses aus China und Russland.
Hallo bunfried,
sei mir nicht böse, aber ich denke du brauchst einen Fachmann der dir weiterhilft.
Du behauptest das dein Server nicht als relay arbeiten kann. Die von dir vorgelegten Testprotokolle (viel zu lang) sagen es gibt 14 Relays und du fragst jetzt warum? Selbst deine angekündigten "Attachments" hat ausser dir noch keiner gesehen.
Fakten:
Du hast einen SBS 2003 (R2 oder nicht R2).
Fully Patched - Schön, hat aber mit deinem Problem nichts zu tun. Patches helfen nicht gegen relay Betrieb.
Problem erst seit kurzer Zeit - Ich denke schon länger, nur nicht so massiv
110,000 Mails gehen bei dir raus (du vermutest von ausserhalb)
hast Port 25 an der Firewall (welche und wo und welche richtung) gesperrt
Du behauptest Realy nicht möglich - Protokolle und deine Aussage von 09:43 beweisen gegenteiliges.
Postest ein langes protokoll und gibst noch nicht mal einen Kommentar dazu ab. (Warum sollen wir deine Arbeit tun)
das du von Exchange nicht viel verstehst solltest du einsehen.
Dein freund könnte hier sein:
http://technet.microsoft.com/en-us/kb/kb00324958.aspx
http://support.microsoft.com/kb/895853
http://www.msxfaq.de/konzepte/smtprelay.htm
http://www.msxfaq.de/internet/relay2000.htm
Peter
sei mir nicht böse, aber ich denke du brauchst einen Fachmann der dir weiterhilft.
Du behauptest das dein Server nicht als relay arbeiten kann. Die von dir vorgelegten Testprotokolle (viel zu lang) sagen es gibt 14 Relays und du fragst jetzt warum? Selbst deine angekündigten "Attachments" hat ausser dir noch keiner gesehen.
Fakten:
Du hast einen SBS 2003 (R2 oder nicht R2).
Fully Patched - Schön, hat aber mit deinem Problem nichts zu tun. Patches helfen nicht gegen relay Betrieb.
Problem erst seit kurzer Zeit - Ich denke schon länger, nur nicht so massiv
110,000 Mails gehen bei dir raus (du vermutest von ausserhalb)
hast Port 25 an der Firewall (welche und wo und welche richtung) gesperrt
Du behauptest Realy nicht möglich - Protokolle und deine Aussage von 09:43 beweisen gegenteiliges.
Postest ein langes protokoll und gibst noch nicht mal einen Kommentar dazu ab. (Warum sollen wir deine Arbeit tun)
das du von Exchange nicht viel verstehst solltest du einsehen.
Dein freund könnte hier sein:
http://technet.microsoft.com/en-us/kb/kb00324958.aspx
http://support.microsoft.com/kb/895853
http://www.msxfaq.de/konzepte/smtprelay.htm
http://www.msxfaq.de/internet/relay2000.htm
Peter
Trotzdem brauche ich keine patzigen Antworten a la "das
du von Exchange nicht viel verstehst solltest du einsehen."
du von Exchange nicht viel verstehst solltest du einsehen."
Hallo,
Sie haben es ja nicht mal für nötig empfunden die Tageszeit zu sagen.
Desweiteren sollten sie vllt auch sagen welchen Relay-Test sie verwendet haben. Wir können ja schließlich nicht hellsehen und alle Logs auswendig auch nicht ;) Fürs nächste mal vielleicht merken.
MfG Tobias
Hallo bunfried,
Läuft bei dir evtl. der ISA 2004?
Hier noch ein hilfe:
http://spamlinks.net/prevent-secure-relay-test.htm#web
habe mal auf einen Mailserver deine angabe http://www.rbl.jp/svcheck.php losgelassen.
3 mal accepted. Das ist in Ordnung. Empfänger ist in der internen Domain, aber unbekannt. Wird eh nicht angenommen.
Da wirft sich eine Frage auf. hast du den Open Relay test von INNERHALB deiner Domäne gemacht?
Peter
Danke vorweg für die links, die ich mir aber schon alle zu
Gemüte geführt habe.
das konnte niemand hier wissen. unsere Glaskugeln sind nicht mehr.Gemüte geführt habe.
Warum die attachments nicht hochgeladen wurde, entzieht sich meiner
Kenntnis.
Du meinst wirklich attachments und nicht grafikenKenntnis.
Damit die Fakten klar sind. Es handelt sich um einen SBS 2003 (die
Bezeichnung nicht r2 hat Microsoft wohl bei der Produkteinführung
verabsäumt).
Nein. Es steht halt nur nicht auf dem Bildschirm.Bezeichnung nicht r2 hat Microsoft wohl bei der Produkteinführung
verabsäumt).
Gepatcht kann durchaus ein Hinweis, falls man sich Schadcode
über eine Sicherheitslücke eingeschleust hat.
Da du aber explizit relay als problem nennst, hilft kein patchüber eine Sicherheitslücke eingeschleust hat.
Von einer Vermutung war nie eine Rede. Eher mehr von relay.
Also kannst du einen interne Absender 100% ausschliessenPort 25 sperren bei einem Mailserver wird wohl den inbound betreffen,
Beide richtungen können gesperrt werden.Von der exchange-Einstellung sind alle Möglichkeiten für
relays abgedreht.
Dann hättest du kein relay problem.relays abgedreht.
Gerade den Widerspruch im Protokoll sehe ich als
diskussionswürdig an.
Wer soll sich hier kilometerlange Protokolle ansehen und für dich auswerten wenn du zwar deinen Domainnamen entfernst (richtig so) aber die unzutreffenden Formatierung lässt?diskussionswürdig an.
Inzwischen habe ich eine Fehlfunktion der Firewall entdeckt, die mit
Reaktivierung derselben behoben sein dürfte.
Was hat das mit relay zu tun?Reaktivierung derselben behoben sein dürfte.
Läuft bei dir evtl. der ISA 2004?
Hier noch ein hilfe:
http://spamlinks.net/prevent-secure-relay-test.htm#web
habe mal auf einen Mailserver deine angabe http://www.rbl.jp/svcheck.php losgelassen.
3 mal accepted. Das ist in Ordnung. Empfänger ist in der internen Domain, aber unbekannt. Wird eh nicht angenommen.
Da wirft sich eine Frage auf. hast du den Open Relay test von INNERHALB deiner Domäne gemacht?
Peter