SBS 2003 - wird als Spambot missbraucht - offene Relays

Mitglied: medien-rs

medien-rs (Level 1) - Jetzt verbinden

07.09.2011 um 17:35 Uhr, 6277 Aufrufe, 14 Kommentare

Mein SBS 2003 wird als Spam-versender missbraucht. Ich habe laut Relay Checker offene Relays.
Die Exchange Einstellungen sind so konfiguriert, dass nur angemeldete User Mails ver senden können.

Hallo!

Ich habe eine schreiben von der Telekom bekommen, in dem steht, dass unser Mailserver (Exchange 2003) zum versendne von Spam missbraucht wird.
Ich habe alles gecheckt, die Exchange EInstellungen sind so, dass nur angemeldete User mails versenden können.

Ich habe gelesen, das der Grund offene Relays sein können.
Wenn ich einen Rlay Checker nehme, werden mir auch offene Relasys angezeigt
Doch wie schliesse ich diese?



Kann mir jemand helfen? Die Telekom will uns sonst den Saft abdrehen...











Den Header, den ich von der Telekom bekommen habe sieht wie folgt aus:


in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung : 3
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM


IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 25 Aug 2011 19:58:33 -0000, entspricht deutscher Zeit: 25.08.2011, 21:58:33 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php

Date: Fri, 26 Aug 2011 07:15:06 +0200
From: Trendmicro <abuse>
Message-ID: <a7e4999e5afc2e8ec5e9c3a5b34ec99agenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 25 Aug 2011 19:58:33 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Message-Id: <201108260352.p7Q3qcf6022233SJDC-ERS3-1ctstrendmicro>
Date: Fri, 26 Aug 2011 03:52:34 +0000
To: abuse
From: poyuan_teng
Subject: [20110826] AS3320 Daily Report

777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 22 Aug 2011 20:43:48 -0000, entspricht deutscher Zeit: 22.08.2011, 22:43:48 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Tue, 23 Aug 2011 07:05:43 +0200
From: Trendmicro <abuse>
Message-ID: <37979897f22bef81049e32bbddefebadgenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 22 Aug 2011 20:43:48 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Message-Id: <201108230352.p7N3qvBt041849SJDC-ERS3-1ctstrendmicro>
Date: Tue, 23 Aug 2011 03:52:54 +0000
To: abuse
From: poyuan_teng
Subject: [20110823] AS3320 Daily Report

7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 20 Aug 2011 16:51:39 -0000, entspricht deutscher Zeit: 20.08.2011, 18:51:39 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Sun, 21 Aug 2011 19:31:49 +0200
From: Trendmicro <abuse>
Message-ID: <397040259bda717d47a3d8b4c43e644egenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 20 Aug 2011 16:51:39 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Liste aus 56756435
Mitglied: Lochkartenstanzer
07.09.2011 um 18:03 Uhr
Im einfschaten Fall:

Im Exhange einstellen, daß er nur Mails für die eigene Domain annimmt.
Bitte warten ..
Mitglied: medien-rs
07.09.2011 um 18:26 Uhr
Kannst du da etwas genauer sein? Wo, wie, - Menupunkt.....

Dann teste ich das aus.

Ich bin leider Exchange-noob, der alte Admin musste die Firma verlassen......
Bitte warten ..
Mitglied: Hubert.N
07.09.2011 um 18:34 Uhr
Moin :) face-smile

Der Exchange 2003 ist eigentlich von Haus aus gegen unbefugtes Relay geschützt. Zuerst einmal solltest du testen, ob dein Server überhaupt ein offenes Relay ist. z.B. http://www.abuse.net/relay.html

Der Hinweis mit den Einstellungen im Exchange ist schon korrekt, aber was ist, wenn du dir einen netten kleinen "Mitbewohner" eingefangen hast, der deinen Server auf diesem Wege nutzt ?

Ansonsten hier weiterlesen: http://www.msxfaq.de/internet/relay2000.htm

Gruß

Hubert
Bitte warten ..
Mitglied: medien-rs
07.09.2011 um 19:01 Uhr
beim link kam (wie erwartet) folgendes raus:

Mail relay testing
This host was recently tested with an anonymous test.

The host appeared to accept a test message for relay.

Jetzt muss ich nur wissen wie man die schliesst........ Alle Google Anleitungen habe ich befolgt
Auch die msxfaq habe ich bereits gelesen und es war so eingestellt...

Symantec Endpoint protection findet nichts.
Ich habe auch eine Netgear Hardware Firewall vorgeschaltet - hilft die irgendwie?

DANKE FÜR EURE HILFE!!!!!!!!!
Bitte warten ..
Mitglied: StefanKittel
07.09.2011 um 19:32 Uhr
Hallo,

Außerdem kann es natürlich sein, dass ein PC aus dem Netzwerk befallen ist und Spam entweder direkt oder über den Exchange verschickt.
Auch ist es möglich, dass ein Außenstehender über eine Sicherheitslücke (z.B. wegen fehlender Updates) direkten Zugriff auf den Server hat oder ein Benutzername und Kennwort verwendet für seinen Spam (z.B. in einem öffentlichen WLAN abgefangen).

Google mal nach der Nachrichtenverfolgung des Exchange.
Dann kannst Du sehen welche Email dieser empfängt und verschickt und warum/von wem.

Stefan
Bitte warten ..
Mitglied: Hubert.N
07.09.2011 um 19:32 Uhr
arbeite noch einmal diesen Artikel ab: http://support.microsoft.com/kb/324958/de

Und ansonsten kann ich dir nur den Rat geben, dir schnell (!!!) kompetente Hilfe ins Haus zu holen.

Es dauert nicht lange und dein Server ist bei allen möglichen Anbietern auf der Blacklist und schon hast du ein weiteres nicht zu unterschätzendes Problem...

Gruß

p.s. die Frage, ob eine Firewall vor Relaymissbrauch schützen kann sagt mir, dass dir doch ein wenig das Grundlagenwissen fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt keine Mails mehr empfangen.
Bitte warten ..
Mitglied: tonabnehmer
07.09.2011 um 19:41 Uhr
Hi,

ich möchte Dir nicht zu nahe treten, aber eine geschäftskritische Anwendung wie E-Mail bzw. Exchange sollte von jemandem administriert werden, der Ahnung hat. Das gilt besonders, wenn Euer falsch konfigurierter Exchange Server anderen schadet, indem er Spams sendet. Wenn das Wissen im Unternehmen fehlt, könnt Ihr die Administration durch Dienstleister durchführen lassen.

Zum eigentlichen Thema: Die Telekom Header helfen hier nicht weiter. Da steh ja auch klar und deutlich drin: "Es sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden." Viel interessanter wäre das Ergebnis des Relay Tests. Vermutlich musst Du im Exchange einfach konfigurieren, dass er nur Mails für Eure interne Domain annimmt und nicht für externe Domains.

Grüße,
tonabnehmer
Bitte warten ..
Mitglied: medien-rs
07.09.2011 um 19:49 Uhr
Denke mal das hier doch ein Trojaner o.ä. im Spiel ist, da wie gestagt eigtl. kein externer Mails versenden kann.
Und wie oben gepostet der Relay test war nicht i.o.

Daher ja die Frage wie ich offene Relays schliesse - die windows kb und die msxfaq habe ich schon vor den postings durchgearbeitet - keine Änderungen.
Genau genommen war der Exchange genau wie dort angegeben konfiguriert.

Wenn ich im Exchange in den Protokollen nachsehe sehe ich auch keine Mails, die nach aussen gehen (ausser gewollte)

Ich schalte jetzt erst mal den SMTP nach aussen ab, Dann wird schonmal nichtsmehr versendet.


P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die Tendenz?

P.P.S. Wo genau im Exchange kann ich sehen, welche Nachrichten verschickt wurden. Alle die ich finde (Smtp Protokoll) sind unauffällig - da sind nur Nachrichten von unseren Usern drin, und die Liste ist momentan - da Urlaub - recht übersichtlich....
Bitte warten ..
Mitglied: Lochkartenstanzer
07.09.2011 um 20:30 Uhr
Zitat von @Hubert.N:
fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt
keine Mails mehr empfangen.

So nicht korrekt:

Eine Firewall kann sehr wohl gegen smtp-Mißbrauch schützen. Dazu darf sie den Port aber nicht einfach weiterreichen, sondern muß entweder als smtp-proxy (mit filtern) agieren oder gleich als smtp-gateway. Ob Die Netgear des TO das kann, weiß ich nicht.

An den TO:

Schnellstens jemanden suchen, der sich damit auskennt. Ich persönlich lasse einen exchange (und auch andere Mailserver) nie direkt selbst ans Netz, sondern immer über ein smtp-gatway, der spam und malware abfängt und auch gegen relaying schützt.
Bitte warten ..
Mitglied: Lochkartenstanzer
07.09.2011 um 20:38 Uhr
Wenn Du die Frage direkt in google eingibst, findest Du sehr viele passende Antworten. Gleich die ersten Treffer, z.B. bei petri.it oder techrepublic sollten Dich weiterführen.
Bitte warten ..
Mitglied: mrtux
07.09.2011 um 21:18 Uhr
Hi !

Zitat von @medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?

Im Zweifel gilt immer Murphys Gesetz! Alle Rechner und Server mit einer (oder mehreren) Live CDs oder Rescue Systemen prüfen, notfalls säubern oder komplett neu aufsetzen.

Wenn Du keine Erfahrung mit der Malwareentfernung hast, dann (wie lks schon schrieb) einen erfahrenen externen Anbieter ins Haus holen. Malware ist heute oftmals schlitzohrig, man denkt sie ist weg und wird dabei böse verarscht....

mrtux
Bitte warten ..
Mitglied: Lochkartenstanzer
07.09.2011 um 21:38 Uhr
Zitat von @medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.

ein offenes relay spricht eher für den Server, denn dorthin wird doch wohl smtp weitergeforardet. Oder ist es die netgear, die eventuell einen falsch konfigurierten smtp-proxy hat? -> schau mal von "außen" mit
, wer antowrtet.

Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?

Sofern man herausfidne will, ob etwas befallen ist, sind live-CDs mit Antivirenprogrammen das Mittel der Wahl. (knoppicilin, rescue-CDs der AV-hersteller, BartPE/WinPE, usw.) Alelrdings ist das langwierig und bestätigt ggf nur, daß man sich etwas eingefangen hat. Wenn die nichts finden, heißt das nicht unbedingt, daß die Kisten sauber sind.

"Säubern" ist eh mit Vorsicht zu genießen. Bei wichtigen Daten ist neu Aufsetzen das Mittel der Wahl.
Bitte warten ..
Mitglied: dog
08.09.2011 um 00:23 Uhr
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen

Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.

Zum Thema Open Relay:

Diese Tests sind meistens nicht zuverlässig, weil sie nicht prüfen ob eine Mail auch wirklich ankommt.
Mein Mailserver sieht z.B. auch wie ein Open Relay aus, weil er alle Mails scheinbar annimmt, aber dann im Hintergrund einfach verwirft.

So einen Test kann man aber auch ganz leicht selber machen, wenn man sich mit dem Exchange von zuhause verbindet und eine Mail an irgendeine Freemailer-Adresse schickt:

http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#Protokoll
Bitte warten ..
Mitglied: Lochkartenstanzer
08.09.2011 um 01:06 Uhr
Zitat von @dog:
Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.

Ich würde sogar noch weitergehen und noch ein smtp-gateway in die DMZ packen. Der Exchange ist dann der einzige der mit dem gateway mails austauschen darf und das gateway der einzige der SMTP mit der außenwelt reden darf. Ist zwar aufwendiger, dafür aber ein deutlicher Gewinn an Sicherheit. Beim lokalen Mailserver pfuschen i.d.R. zuviele Leute rum und es gibt zuviele Stellschrauben, die die Gefahr einer Fehlkonfiguration bergen.
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 1 TagFrageHTML17 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Netzwerke
Lan sperre (vieleicht)
gelöst 147852Vor 8 StundenFrageNetzwerke47 Kommentare

Hi Leute habe ein Problem, mein Vater hat mir eine Internet sperre gegeben ,aber keine normale. das Problem : mein Internet verschwindet am pc ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Windows Server
Server-Internetverbindung kurz trennen und wieder aktivieren
gelöst imebroVor 1 TagFrageWindows Server11 Kommentare

Hallo, wir haben im Moment fast täglich immer wieder Ausfälle unserer Internetverbindung. Unser Provider sagt, dass er kein Problem feststellen kann. Aber wenn vom ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
gelöst Wicky1Vor 1 TagFrageHardware16 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...