philbo69
Goto Top

Relayeinschränkung Exchange 2003

Hallo zusammen,

einer unserer Kunden versendet momentan 2000 Spammails die Stunde über ihren Exchangeserver. Es wird nicht über dem Kunden seine Domain verschickt sondern über andere.

Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen. Wenn ich da jetzt die Domäne des Kunden einstellen würde, was passiert dann mit den Mails die blockiert werden? Diese werden ja trotzdem erzeugt.

Landen die dann in der SMTP Connector Warteschlange oder werden die gelöscht?

Vielen Dank im Voraus.

PS: Ich weiß ich muss die Rechner noch überprüfen wo die Spammails herkommen.

Content-ID: 274406

Url: https://administrator.de/contentid/274406

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

emeriks
emeriks 12.06.2015 um 11:12:56 Uhr
Goto Top
Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen. Wenn ich da jetzt die
Domäne des Kunden einstellen würde, was passiert dann mit den Mails die blockiert werden? Diese werden ja trotzdem
erzeugt.

Landen die dann in der SMTP Connector Warteschlange oder werden die gelöscht?
Der Server sollte dann die Annahme der Mails komplett verweigern.

E.
Philbo69
Philbo69 12.06.2015 um 11:22:05 Uhr
Goto Top
Aber wo sind die dann? Irgendein Client erzeugt diese Mails ja. Werden die dann nach der verweigerung gelöscht oder landen die irgendwo im Cache oder Temp Ordner?
SlainteMhath
SlainteMhath 12.06.2015 um 11:35:23 Uhr
Goto Top
Moin,

einer unserer Kunden ...
*seufz*

wenn die Mail tats. von einem internen Client per SMTP oder womöglich gleich per MAPI am Exchange abgeliefert werden, hast du keine Chance das Relaying zu verhindern, da der Client ja eigentlich berechtigt ist Mails an extern zu versenden!

PS: Ich weiß ich muss die Rechner noch überprüfen wo die Spammails herkommen.
Sofort vom Netz trennen, format c: und neu installieren - sonst wirst du den/die Bot(s) nicht los.
Bei der Gelegenheit dann gleich mal das AV- und/oder UTM-Konzept überdenken.

lg,
Slainte
keine-ahnung
keine-ahnung 12.06.2015 um 11:43:06 Uhr
Goto Top
*seufz*
Dito!
Sofort vom Netz trennen, format c:
Gute Idee ....
und neu installieren
... das wäre verzichtbar, weil:
Exchange 2003

LG, Thomas
SlainteMhath
SlainteMhath 12.06.2015 um 11:46:08 Uhr
Goto Top
Exchange 2003
psscht face-smile
emeriks
emeriks 12.06.2015 um 11:48:46 Uhr
Goto Top
Um herauszubekommen, wer das sendet, reicht es, den Exch vom Internet zu trennen. Dann laufen alle Mails in der Warteschlange auf und man kann sich dorrt die Absenderadresse ansehen. Wenn das eine der internen Adressen ist, dann geht das höchstwahrscheinlich über Outlook, MAPI. Wenn das irgendeine zufälig generierte ist, dann kommen die Mails höchstwahrscheinlich über SMTP rein.

Wenn der SMTP das Relay der die Mails verweigert, dann landen dies auch in keiner Warteschlange. Die Annahme wird komplett verweigert.

E.
GuentherH
GuentherH 12.06.2015 um 11:50:11 Uhr
Goto Top
Habe mal in den Relayeinschränkungen die Einstellungen auf die Domänenbeschränkung gesehen

Warum muss der Exchange überhaupt als Relay arbeiten?

Sperre einfach am Exchange das Relaying. Die Clients versenden ja sowieso über MAPI, benötigen also SMTP nicht.
Sperre ausgehend Port 25 für das gesamte Netz bis auf den Exchange.

Wenn dann noch immer SPAM versendet wird, dann ist bereits der Exchange selbst befallen, ansonst sollte sich der/die befallenen Clients einfach finden lassen.

LG Günther
emeriks
emeriks 12.06.2015 um 11:52:10 Uhr
Goto Top
Warum muss der Exchange überhaupt als Relay arbeiten?
Bei uns im Haus z.B. für Scan-To-Mail.
GuentherH
GuentherH 12.06.2015 um 12:31:19 Uhr
Goto Top
Bei uns im Haus z.B. für Scan-To-Mail.

Das ist schon klar. Dann wird aber auch im zuständigen Connector eingetragen, dass nur dieses Geräte darüber versenden darf. Zusätzlich kann in den meisten Fällen der Connector so konfiguriert werden, dass ein Versand nach extern nicht möglich ist.

LG Günther
emeriks
emeriks 12.06.2015 um 12:32:11 Uhr
Goto Top
richtig
certifiedit.net
certifiedit.net 12.06.2015 um 13:01:43 Uhr
Goto Top
Zitat von @emeriks:

> Warum muss der Exchange überhaupt als Relay arbeiten?
Bei uns im Haus z.B. für Scan-To-Mail.

Oder für div. andere Dienste. Aber dann auch nur dediziert für diese. Hier ist das Problem der Einsatz des falschen Dienstleisters. Sonst wäre der Ex 2003 bereits weg vom Fenster.
Philbo69
Philbo69 12.06.2015 um 13:15:19 Uhr
Goto Top
Die Absenderadressen sind aber von extern. Die Absenderadressen haben nicht mit der eigentlichen domain zu tun.
SlainteMhath
SlainteMhath 12.06.2015 um 13:45:57 Uhr
Goto Top
Die Absenderadressen sind aber von extern. Die Absenderadressen haben nicht mit der eigentlichen domain zu tun.
Das ist auch fürs relaying am Exchange vollkommen wurst. Entscheidend ist a) wohin (domain) die Mail geht und b) woher (IP) die Mail kommt.

Pausiere die Ausgehende SMTP Queue am Exchange, wenn da dann Mails SPAMs auflaufen kannst du dir ansehen von welchem Client(s) die kommen entsprechend handeln. Falls keine SPAM Mails in der Qeue erscheinen hat der Exchange mit dem Mailversand nichts zu tun und du musst am Router/der Firewall ansetzen.
Philbo69
Philbo69 15.06.2015 um 16:05:42 Uhr
Goto Top
Problem ist behoben.

Ich habe die Domänenbeschränkung auf die Domäne des Kunden eingestellt. Und es kamen keine Spammails mehr.

Haben dann mal mit Wireshark geschaut wo alles her kam. Es hat sich herausgestellt, das es ein Server aus Nigeria war der sich direkt mit dem SMTP-Connector verbunden hat.