14
SBS 2003 - wird als Spambot missbraucht - offene Relays
Mein SBS 2003 wird als Spam-versender missbraucht. Ich habe laut Relay Checker offene Relays.
Die Exchange Einstellungen sind so konfiguriert, dass nur angemeldete User Mails ver senden können.
Hallo!
Ich habe eine schreiben von der Telekom bekommen, in dem steht, dass unser Mailserver (Exchange 2003) zum versendne von Spam missbraucht wird.
Ich habe alles gecheckt, die Exchange EInstellungen sind so, dass nur angemeldete User mails versenden können.
Ich habe gelesen, das der Grund offene Relays sein können.
Wenn ich einen Rlay Checker nehme, werden mir auch offene Relasys angezeigt
Doch wie schliesse ich diese?
Kann mir jemand helfen? Die Telekom will uns sonst den Saft abdrehen...
Den Header, den ich von der Telekom bekommen habe sieht wie folgt aus:
in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung : 3
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 25 Aug 2011 19:58:33 -0000, entspricht deutscher Zeit: 25.08.2011, 21:58:33 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Fri, 26 Aug 2011 07:15:06 +0200
From: Trendmicro <abuse>
Message-ID: <a7e4999e5afc2e8ec5e9c3a5b34ec99agenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 25 Aug 2011 19:58:33 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Message-Id: <201108260352.p7Q3qcf6022233SJDC-ERS3-1ctstrendmicro>
Date: Fri, 26 Aug 2011 03:52:34 +0000
To: abuse
From: poyuan_teng
Subject: [20110826] AS3320 Daily Report
777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 22 Aug 2011 20:43:48 -0000, entspricht deutscher Zeit: 22.08.2011, 22:43:48 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Tue, 23 Aug 2011 07:05:43 +0200
From: Trendmicro <abuse>
Message-ID: <37979897f22bef81049e32bbddefebadgenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 22 Aug 2011 20:43:48 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Message-Id: <201108230352.p7N3qvBt041849SJDC-ERS3-1ctstrendmicro>
Date: Tue, 23 Aug 2011 03:52:54 +0000
To: abuse
From: poyuan_teng
Subject: [20110823] AS3320 Daily Report
7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 20 Aug 2011 16:51:39 -0000, entspricht deutscher Zeit: 20.08.2011, 18:51:39 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Sun, 21 Aug 2011 19:31:49 +0200
From: Trendmicro <abuse>
Message-ID: <397040259bda717d47a3d8b4c43e644egenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 20 Aug 2011 16:51:39 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Liste aus 56756435
Die Exchange Einstellungen sind so konfiguriert, dass nur angemeldete User Mails ver senden können.
Hallo!
Ich habe eine schreiben von der Telekom bekommen, in dem steht, dass unser Mailserver (Exchange 2003) zum versendne von Spam missbraucht wird.
Ich habe alles gecheckt, die Exchange EInstellungen sind so, dass nur angemeldete User mails versenden können.
Ich habe gelesen, das der Grund offene Relays sein können.
Wenn ich einen Rlay Checker nehme, werden mir auch offene Relasys angezeigt
Doch wie schliesse ich diese?
Kann mir jemand helfen? Die Telekom will uns sonst den Saft abdrehen...
Den Header, den ich von der Telekom bekommen habe sieht wie folgt aus:
in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung : 3
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 25 Aug 2011 19:58:33 -0000, entspricht deutscher Zeit: 25.08.2011, 21:58:33 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Fri, 26 Aug 2011 07:15:06 +0200
From: Trendmicro <abuse>
Message-ID: <a7e4999e5afc2e8ec5e9c3a5b34ec99agenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 25 Aug 2011 19:58:33 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Message-Id: <201108260352.p7Q3qcf6022233SJDC-ERS3-1ctstrendmicro>
Date: Fri, 26 Aug 2011 03:52:34 +0000
To: abuse
From: poyuan_teng
Subject: [20110826] AS3320 Daily Report
777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 22 Aug 2011 20:43:48 -0000, entspricht deutscher Zeit: 22.08.2011, 22:43:48 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Tue, 23 Aug 2011 07:05:43 +0200
From: Trendmicro <abuse>
Message-ID: <37979897f22bef81049e32bbddefebadgenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 22 Aug 2011 20:43:48 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Message-Id: <201108230352.p7N3qvBt041849SJDC-ERS3-1ctstrendmicro>
Date: Tue, 23 Aug 2011 03:52:54 +0000
To: abuse
From: poyuan_teng
Subject: [20110823] AS3320 Daily Report
7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 20 Aug 2011 16:51:39 -0000, entspricht deutscher Zeit: 20.08.2011, 18:51:39 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Sun, 21 Aug 2011 19:31:49 +0200
From: Trendmicro <abuse>
Message-ID: <397040259bda717d47a3d8b4c43e644egenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 20 Aug 2011 16:51:39 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Liste aus 56756435
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172755
Url: https://administrator.de/contentid/172755
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
14 Kommentare
Neuester Kommentar
Im einfschaten Fall:
Im Exhange einstellen, daß er nur Mails für die eigene Domain annimmt.
Im Exhange einstellen, daß er nur Mails für die eigene Domain annimmt.
Kannst du da etwas genauer sein? Wo, wie, - Menupunkt.....
Dann teste ich das aus.
Ich bin leider Exchange-noob, der alte Admin musste die Firma verlassen......
Dann teste ich das aus.
Ich bin leider Exchange-noob, der alte Admin musste die Firma verlassen......
Moin 
Der Exchange 2003 ist eigentlich von Haus aus gegen unbefugtes Relay geschützt. Zuerst einmal solltest du testen, ob dein Server überhaupt ein offenes Relay ist. z.B. http://www.abuse.net/relay.html
Der Hinweis mit den Einstellungen im Exchange ist schon korrekt, aber was ist, wenn du dir einen netten kleinen "Mitbewohner" eingefangen hast, der deinen Server auf diesem Wege nutzt ?
Ansonsten hier weiterlesen: http://www.msxfaq.de/internet/relay2000.htm
Gruß
Hubert
Der Exchange 2003 ist eigentlich von Haus aus gegen unbefugtes Relay geschützt. Zuerst einmal solltest du testen, ob dein Server überhaupt ein offenes Relay ist. z.B. http://www.abuse.net/relay.html
Der Hinweis mit den Einstellungen im Exchange ist schon korrekt, aber was ist, wenn du dir einen netten kleinen "Mitbewohner" eingefangen hast, der deinen Server auf diesem Wege nutzt ?
Ansonsten hier weiterlesen: http://www.msxfaq.de/internet/relay2000.htm
Gruß
Hubert
beim link kam (wie erwartet) folgendes raus:
Mail relay testing
This host was recently tested with an anonymous test.
The host appeared to accept a test message for relay.
Jetzt muss ich nur wissen wie man die schliesst........ Alle Google Anleitungen habe ich befolgt
Auch die msxfaq habe ich bereits gelesen und es war so eingestellt...
Symantec Endpoint protection findet nichts.
Ich habe auch eine Netgear Hardware Firewall vorgeschaltet - hilft die irgendwie?
DANKE FÜR EURE HILFE!!!!!!!!!
Mail relay testing
This host was recently tested with an anonymous test.
The host appeared to accept a test message for relay.
Jetzt muss ich nur wissen wie man die schliesst........ Alle Google Anleitungen habe ich befolgt
Auch die msxfaq habe ich bereits gelesen und es war so eingestellt...
Symantec Endpoint protection findet nichts.
Ich habe auch eine Netgear Hardware Firewall vorgeschaltet - hilft die irgendwie?
DANKE FÜR EURE HILFE!!!!!!!!!
Hallo,
Außerdem kann es natürlich sein, dass ein PC aus dem Netzwerk befallen ist und Spam entweder direkt oder über den Exchange verschickt.
Auch ist es möglich, dass ein Außenstehender über eine Sicherheitslücke (z.B. wegen fehlender Updates) direkten Zugriff auf den Server hat oder ein Benutzername und Kennwort verwendet für seinen Spam (z.B. in einem öffentlichen WLAN abgefangen).
Google mal nach der Nachrichtenverfolgung des Exchange.
Dann kannst Du sehen welche Email dieser empfängt und verschickt und warum/von wem.
Stefan
Außerdem kann es natürlich sein, dass ein PC aus dem Netzwerk befallen ist und Spam entweder direkt oder über den Exchange verschickt.
Auch ist es möglich, dass ein Außenstehender über eine Sicherheitslücke (z.B. wegen fehlender Updates) direkten Zugriff auf den Server hat oder ein Benutzername und Kennwort verwendet für seinen Spam (z.B. in einem öffentlichen WLAN abgefangen).
Google mal nach der Nachrichtenverfolgung des Exchange.
Dann kannst Du sehen welche Email dieser empfängt und verschickt und warum/von wem.
Stefan
arbeite noch einmal diesen Artikel ab: http://support.microsoft.com/kb/324958/de
Und ansonsten kann ich dir nur den Rat geben, dir schnell (!!!) kompetente Hilfe ins Haus zu holen.
Es dauert nicht lange und dein Server ist bei allen möglichen Anbietern auf der Blacklist und schon hast du ein weiteres nicht zu unterschätzendes Problem...
Gruß
p.s. die Frage, ob eine Firewall vor Relaymissbrauch schützen kann sagt mir, dass dir doch ein wenig das Grundlagenwissen fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt keine Mails mehr empfangen.
Und ansonsten kann ich dir nur den Rat geben, dir schnell (!!!) kompetente Hilfe ins Haus zu holen.
Es dauert nicht lange und dein Server ist bei allen möglichen Anbietern auf der Blacklist und schon hast du ein weiteres nicht zu unterschätzendes Problem...
Gruß
p.s. die Frage, ob eine Firewall vor Relaymissbrauch schützen kann sagt mir, dass dir doch ein wenig das Grundlagenwissen fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt keine Mails mehr empfangen.
Hi,
ich möchte Dir nicht zu nahe treten, aber eine geschäftskritische Anwendung wie E-Mail bzw. Exchange sollte von jemandem administriert werden, der Ahnung hat. Das gilt besonders, wenn Euer falsch konfigurierter Exchange Server anderen schadet, indem er Spams sendet. Wenn das Wissen im Unternehmen fehlt, könnt Ihr die Administration durch Dienstleister durchführen lassen.
Zum eigentlichen Thema: Die Telekom Header helfen hier nicht weiter. Da steh ja auch klar und deutlich drin: "Es sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden." Viel interessanter wäre das Ergebnis des Relay Tests. Vermutlich musst Du im Exchange einfach konfigurieren, dass er nur Mails für Eure interne Domain annimmt und nicht für externe Domains.
Grüße,
tonabnehmer
ich möchte Dir nicht zu nahe treten, aber eine geschäftskritische Anwendung wie E-Mail bzw. Exchange sollte von jemandem administriert werden, der Ahnung hat. Das gilt besonders, wenn Euer falsch konfigurierter Exchange Server anderen schadet, indem er Spams sendet. Wenn das Wissen im Unternehmen fehlt, könnt Ihr die Administration durch Dienstleister durchführen lassen.
Zum eigentlichen Thema: Die Telekom Header helfen hier nicht weiter. Da steh ja auch klar und deutlich drin: "Es sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden." Viel interessanter wäre das Ergebnis des Relay Tests. Vermutlich musst Du im Exchange einfach konfigurieren, dass er nur Mails für Eure interne Domain annimmt und nicht für externe Domains.
Grüße,
tonabnehmer
Denke mal das hier doch ein Trojaner o.ä. im Spiel ist, da wie gestagt eigtl. kein externer Mails versenden kann.
Und wie oben gepostet der Relay test war nicht i.o.
Daher ja die Frage wie ich offene Relays schliesse - die windows kb und die msxfaq habe ich schon vor den postings durchgearbeitet - keine Änderungen.
Genau genommen war der Exchange genau wie dort angegeben konfiguriert.
Wenn ich im Exchange in den Protokollen nachsehe sehe ich auch keine Mails, die nach aussen gehen (ausser gewollte)
Ich schalte jetzt erst mal den SMTP nach aussen ab, Dann wird schonmal nichtsmehr versendet.
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die Tendenz?
P.P.S. Wo genau im Exchange kann ich sehen, welche Nachrichten verschickt wurden. Alle die ich finde (Smtp Protokoll) sind unauffällig - da sind nur Nachrichten von unseren Usern drin, und die Liste ist momentan - da Urlaub - recht übersichtlich....
Und wie oben gepostet der Relay test war nicht i.o.
Daher ja die Frage wie ich offene Relays schliesse - die windows kb und die msxfaq habe ich schon vor den postings durchgearbeitet - keine Änderungen.
Genau genommen war der Exchange genau wie dort angegeben konfiguriert.
Wenn ich im Exchange in den Protokollen nachsehe sehe ich auch keine Mails, die nach aussen gehen (ausser gewollte)
Ich schalte jetzt erst mal den SMTP nach aussen ab, Dann wird schonmal nichtsmehr versendet.
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die Tendenz?
P.P.S. Wo genau im Exchange kann ich sehen, welche Nachrichten verschickt wurden. Alle die ich finde (Smtp Protokoll) sind unauffällig - da sind nur Nachrichten von unseren Usern drin, und die Liste ist momentan - da Urlaub - recht übersichtlich....
Zitat von @Hubert.N:
fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt
keine Mails mehr empfangen.
fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt
keine Mails mehr empfangen.
So nicht korrekt:
Eine Firewall kann sehr wohl gegen smtp-Mißbrauch schützen. Dazu darf sie den Port aber nicht einfach weiterreichen, sondern muß entweder als smtp-proxy (mit filtern) agieren oder gleich als smtp-gateway. Ob Die Netgear des TO das kann, weiß ich nicht.
An den TO:
Schnellstens jemanden suchen, der sich damit auskennt. Ich persönlich lasse einen exchange (und auch andere Mailserver) nie direkt selbst ans Netz, sondern immer über ein smtp-gatway, der spam und malware abfängt und auch gegen relaying schützt.
Wenn Du die Frage direkt in google eingibst, findest Du sehr viele passende Antworten. Gleich die ersten Treffer, z.B. bei petri.it oder techrepublic sollten Dich weiterführen.
Hi !
Im Zweifel gilt immer Murphys Gesetz! Alle Rechner und Server mit einer (oder mehreren) Live CDs oder Rescue Systemen prüfen, notfalls säubern oder komplett neu aufsetzen.
Wenn Du keine Erfahrung mit der Malwareentfernung hast, dann (wie lks schon schrieb) einen erfahrenen externen Anbieter ins Haus holen. Malware ist heute oftmals schlitzohrig, man denkt sie ist weg und wird dabei böse verarscht....
mrtux
Zitat von @medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?
Im Zweifel gilt immer Murphys Gesetz! Alle Rechner und Server mit einer (oder mehreren) Live CDs oder Rescue Systemen prüfen, notfalls säubern oder komplett neu aufsetzen.
Wenn Du keine Erfahrung mit der Malwareentfernung hast, dann (wie lks schon schrieb) einen erfahrenen externen Anbieter ins Haus holen. Malware ist heute oftmals schlitzohrig, man denkt sie ist weg und wird dabei böse verarscht....
mrtux
Zitat von @medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
ein offenes relay spricht eher für den Server, denn dorthin wird doch wohl smtp weitergeforardet. Oder ist es die netgear, die eventuell einen falsch konfigurierten smtp-proxy hat? -> schau mal von "außen" mit
telnet servername 25 Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?
Tendenz?
Sofern man herausfidne will, ob etwas befallen ist, sind live-CDs mit Antivirenprogrammen das Mittel der Wahl. (knoppicilin, rescue-CDs der AV-hersteller, BartPE/WinPE, usw.) Alelrdings ist das langwierig und bestätigt ggf nur, daß man sich etwas eingefangen hat. Wenn die nichts finden, heißt das nicht unbedingt, daß die Kisten sauber sind.
"Säubern" ist eh mit Vorsicht zu genießen. Bei wichtigen Daten ist neu Aufsetzen das Mittel der Wahl.
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen
Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.
Zum Thema Open Relay:
Diese Tests sind meistens nicht zuverlässig, weil sie nicht prüfen ob eine Mail auch wirklich ankommt.
Mein Mailserver sieht z.B. auch wie ein Open Relay aus, weil er alle Mails scheinbar annimmt, aber dann im Hintergrund einfach verwirft.
So einen Test kann man aber auch ganz leicht selber machen, wenn man sich mit dem Exchange von zuhause verbindet und eine Mail an irgendeine Freemailer-Adresse schickt:
http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#Protokoll
Zitat von @dog:
Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.
Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.
Ich würde sogar noch weitergehen und noch ein smtp-gateway in die DMZ packen. Der Exchange ist dann der einzige der mit dem gateway mails austauschen darf und das gateway der einzige der SMTP mit der außenwelt reden darf. Ist zwar aufwendiger, dafür aber ein deutlicher Gewinn an Sicherheit. Beim lokalen Mailserver pfuschen i.d.R. zuviele Leute rum und es gibt zuviele Stellschrauben, die die Gefahr einer Fehlkonfiguration bergen.
