SBS 2003 unzustellbarkeitsbericht, vielleicht Spam?

sveri80
Goto Top

Hi,
wir benutzen hier den SBS 2003 mit Exchange 2003.
Der Server dient auch noch als File und Druckserver.
Davor hängt ein Debianrouter mit iptables.

Seit 2 Wochen tritt bei uns ein komisches Problem auf.
Einer unserer Nutzer bekommt ca. 3 mal am Tag eine komische Mail:
Diese sieht fast immer so aus:

Received: from mout-bounce.kundenserver.de ([212.227.15.21]) by SBS2003 with Microsoft SMTPSVC(6.0.3790.3959);
Fri, 3 Jul 2009 22:35:17 +0200
Received: from mout by mobap1.kundenserver.de id 0MKqiO-1MMpSb28gi-000L6U;
Fri, 03 Jul 2009 22:34:17 +0200
Date: Fri, 03 Jul 2009 22:34:17 +0200
From: Mail Delivery System <mailer-daemon@kundenserver.de>
To: SBS Benutzer
Subject: Mail delivery failed: returning message to sender
Message-Id: <0MKqiO-1MMpSb28gi-000L6U@mobap1.kundenserver.de>
X-Original-Id: 0MKsym-1MMpSb03qK-000Nyc
Return-Path: <>
X-OriginalArrivalTime: 03 Jul 2009 20:35:17.0849 (UTC) FILETIME=[C6EDBC90:01C9FC1D]

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. The following addresses failed:

<Reglersitskau@gmail.com>

SMTP error from remote server after RCPT command:
host gmail-smtp-in.l.google.com[209.85.219.29]:
550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 5si7312659ewy.52


--- The header of the original message is following. ---

Received: from SBS2003 (77-23-240-219-dynip.superkabel.de [unsere_ip])
by mrelayeu.kundenserver.de (node=mrbap0) with ESMTP (Nemesis)
id 0MKsym-1MMpSb03qK-000Nyc; Fri, 03 Jul 2009 22:34:17 +0200
X-MimeOLE: Produced By Microsoft Exchange V6.5
Content-class: urn:content-classes:message
Subject: Abwesenheitsnotiz: Die Energie der Sonne
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C9FC1D.A2587008"
Date: Fri, 3 Jul 2009 22:34:16 +0200
Message-ID: <A70CF7B22195354FA034248AA4FBB10C0C553E@SBS2003>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Die Energie der Sonne
Thread-Index: Acn8HaJMKEZVwzp0Q1uPqFQCLjxTmQAAAAPE
From: =?iso-8859-1?Q?K=FCnzel=2C_Kostja?= <SBS benutzer>
To: "Walter" <Reglersitskau@gmail.com>
X-Provags-ID: V01U2FsdGVkX181AkSFS9Cii9UYhKfQxmSpRQSawjZEj7WsBCC
QeO96hosYf+fUqjp23BORr/DqJzW6+OAFNkws96risXXtDrU7l
bidgKpfqd6LOhKDqyZwMCk8f11UQzKm

Und die Logs dazu sehen immer so aus:

07.07.2009 8:23:37 GMT 212.227.17.6 mout-xforward.kundenserver.de - SRV-LEIPZIG 192.168.15.1 SBS Benutzer 1019 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 Version: 6.0.3790.3959 - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:37 GMT 212.227.17.6 mout-xforward.kundenserver.de - SRV-LEIPZIG 192.168.15.1 SBS Benutzer 1025 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 Version: 6.0.3790.3959 - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:37 GMT 212.227.17.6 mout-xforward.kundenserver.de - SRV-LEIPZIG 192.168.15.1 SBS Benutzer 1024 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 Version: 6.0.3790.3959 - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:37 GMT 212.227.17.6 mout-xforward.kundenserver.de - SRV-LEIPZIG 192.168.15.1 SBS Benutzer 1033 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 Version: 6.0.3790.3959 - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:37 GMT 212.227.17.6 mout-xforward.kundenserver.de - SRV-LEIPZIG 192.168.15.1 SBS Benutzer 1036 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 Version: 6.0.3790.3959 - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:37 GMT 212.227.17.6 mout-xforward.kundenserver.de - SRV-LEIPZIG 192.168.15.1 SBS Benutzer 1023 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 Version: 6.0.3790.3959 - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1027 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - c=DE;a= ;p=BAUART-LEIPZIG;l=SRV-LEIPZIG-090707082338Z-266 - EX:/O=BAUART-LEIPZIG/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=KUENZEL

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1019 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - -

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1025 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - -

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1024 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - -

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - SBS Benutzer 1028 000901c9ff1f$5f2fd890$c2c00084@Lenov02937895 3 0 896 1 2009-7-7 8:23:35 GMT 0 - - - adannayaastley@schloss-reinharz.de

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1033 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - SBS Benutzer

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1034 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - SBS Benutzer

07.07.2009 8:23:38 GMT - - - SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1020 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - SBS Benutzer

07.07.2009 8:23:39 GMT - - smtp.1und1.de SRV-LEIPZIG - adannayaastley@schloss-reinharz.de 1031 A70CF7B22195354FA034248AA4FBB10C0C5549@srv-leipzig.BAUART-LEIPZIG.local 0 0 2776 1 2009-7-7 8:23:38 GMT 0 - - - SBS Benutzer

In dem Fall ist die Spamdomain: @schloss-reinharz.de sogar unsere.
Aber nicht die vom Exchangeserver. Und es wird auch nicht immer die genutzt.
Meist ists eine googlemail adresse mit buchstabenmix vorne dran a la: skldfjsdifojs@googlemail.com.

Ich werd daraus nicht schlau.
Virenchecks waren alle positiv, was nichts bedeuten muss.
Der Nutzer ist schon seit einer Woche im Urlaub, sein Rechner gar nicht
an gewesen in der zeit.
Allerdings loggt er sich regelmäßig mit seinem PDA auf dem Server ein
um die Mails abzurufen und andere zu verschicken.

Ich vermute mal es gibt auch Schädlinge für das Windows Mobile.
So richtig kann das aber auch nicht sein, da die spammails meist verschickt
werden wenn der Nutzer schläft.

Irgendwelche Ideen sind immer willkommen :-) face-smile

Grüße
Sven

Content-Key: 120149

Url: https://administrator.de/contentid/120149

Ausgedruckt am: 30.06.2022 um 11:06 Uhr

Mitglied: GuentherH
GuentherH 09.07.2009 um 23:20:14 Uhr
Goto Top
Hallo.

So wie es aussieht fällt das in den Bereich Backscatter - http://de.wikipedia.org/wiki/Backscatter_(E-Mail)

LG Günther
Mitglied: derlekker
derlekker 10.07.2009 um 09:01:26 Uhr
Goto Top
moin,

das sind bounce messages.. und zwar bounce spam..

ein spammer benutzt deine emailadresse zum spammen und alle unzustellbarkeitsberichte gehen an die emailadresse zurück (also an dich). und nicht an dem smtp-relay...

daher bekommst du die ganzen nachrichten, du kannst nichts dafür und nicht dagegen machen..

du brauchst einen intellegen smtp gateway, der erkennt das die ursprungsnachricht nicht von dir verschickt worden ist..
und die bounce dann ausfiltert.. es gibt da viele namhaften hersteller...

gruss
Mitglied: sveri80
sveri80 10.07.2009 um 10:18:49 Uhr
Goto Top
Danke euch beiden.

Vielleicht kannst du mir ja einen günstigen und namenhaften Hersteller nennen der die Bounces ausfiltert?
Für ein paar Anregungen wär ich sehr dankbar.


Grüße
Sven
Mitglied: GuentherH
GuentherH 10.07.2009 um 12:02:45 Uhr
Goto Top
Hallo.

Vielleicht kannst du mir ja einen günstigen und namenhaften Hersteller nennen der die Bounces ausfiltert?

Das kommt darauf an, wie die Nachrichten an euren Exchange zugestellt werden (POP3 Connector oder SMTP).
Wenn über einen POP3 Connector, dann über welchen (dem des SBS2003 oder ein Fremdprodukt). Wobei du bei POP3 sowieso wenig Chance hast, das Problem in den Griff zu bekommen.

LG Günther
Mitglied: sveri80
sveri80 10.07.2009 um 12:11:41 Uhr
Goto Top
Hallo,

die werden bei uns über SMTP zugestellt.

Grüße
Sven
Mitglied: derlekker
derlekker 10.07.2009 um 12:34:33 Uhr
Goto Top
Mahlzeit,

schau dir mal die smtp-Relays von folgenden Herstellern an:

Ironport oder Astaro..

wir haben die Astaro variante, da wir auch viele bounce spammails bekommen haben..
seit wir das produkt benutzen, haben wir keine probleme mehr mit spammails..
ist nicht ganz so billig, aber sehr gut..

gruss
Mitglied: sveri80
sveri80 10.07.2009 um 13:37:05 Uhr
Goto Top
Danke euch allen für die schnelle Hilfe und die Infos.

Grüße
Sven