optimist2003
Goto Top

SBS2003 Spamversand

Da ich nicht gerade ein Spezialist in Sachen Exchange bin wende ich mich an euch.

Wir betreiben einen SBS2003 bzw. deren Exchangefunktion.
Es gibt nun seit kurzen ein Problem mit dem Postausgang.
Wir versenden Spam. In den letzten Tagen in riesen Mengen so dass ich die Warteschalnge anhalten musste.

Der Versand erfolgt über den SMTP Connector bzw. dann weiter über unseren Hoster.

Es gibt also in der Konfiguration einen SMTP Connector und unter Protokolle/SMTP ein Virtuellen SMTP Server.

Ein offenes Relay haben wir nicht. Zumindest haben das diverse Tests ergeben.
Also vermute ich also einen Schädling am Server.

Nun würde ich um ein paar Tips bitten wie ich diesem auf die Spur kommen kann.

Hier ein Logauszug:

Wie könnte ich diese IP 197.255.168.119 sperren?

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2013-03-26 17:24:49
#Fields: c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-host cs(User-Agent) cs(Cookie)
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.debauche@aol.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturner903@comcast.net> 250 0 42 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cameron@comcast.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sheehan1@bellsouth.net> 250 0 43 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarlight@yahoo.com> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1246@hotmail.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick7c7@yahoo.com> 250 0 33 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 MAIL - +FROM:<uybms78@att.net> 250 0 40 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciaturnerd@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_cklau@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastarrlight@yahoo.com> 250 0 41 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick1302@yahoo.com> 250 0 34 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick82jr@aol.com> 250 0 32 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.m.vogt@gmail.com> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.deloney@aol.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick.sherry@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick_clntn@yahoo.com> 250 0 36 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciatusing@aol.com> 250 0 35 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patriciastaub@verizon.net> 250 0 38 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick15120@verizon.net> 250 0 37 - - -
197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 RCPT - +TO:<patrick843@aol.com> 250 0 31 - - -

Content-Key: 204000

Url: https://administrator.de/contentid/204000

Printed on: May 29, 2024 at 06:05 o'clock

Member: GuentherH
GuentherH Mar 26, 2013 at 19:59:28 (UTC)
Goto Top
Hallo.

Vermutlich wurde einer eurer Accounts gehackt. Ändere alle Passwörter der angelegten Benutzer.
Sperre in den SMTP Einstellungen (Releaying) die Einstellung, dass authorisierte User Mails versenden können.

LG Günther
Member: Pjordorf
Pjordorf Mar 27, 2013 at 00:44:23 (UTC)
Goto Top
Hallo, auch an dich optimist2003,

Zitat von @optimist2003:
Also vermute ich also einen Schädling am Server.
Denn kann man aber entfernen falls es wirklich einer sein sollte, oder?

Wie könnte ich diese IP 197.255.168.119 sperren?
Dann kann es kein Schädling auf deinen SBS sein, ausser dein SBS hat diese IP! wenn nict, dann kommt er von Aussen. Und diese IPs ändern sich schneller als du die sperren könntest. Da du aber nichts zu einem DSL Router / Modem / Firewall / ISA / UTM sagst, können wir dir nicht sagen wie du diese IP bei dir einfach sperren kannst.

197.255.168.119 User SMTPSVC3 SBS 192.168.0.1 0 EHLO - +User 250 0 311 - - -
Definitiv ein Anmeldung von Aussen.
Zum hinwies von @GuentherH noch, schaue ins sicherheitsprotkoll. Dort wirst du vor diesem Zeitraum auf fehlgeschlagene Anmeldungen stosen und evtl. sogar das dann erfolgreich angemeldete Konto von euch (bei dem das Passwort per Brute Force oder schädling oder Social Engineering oder ablesen der Haftnotizen...) genutzt wird.

Gruß (auch an dich unbekannterweise),
Peter
Member: optimist2003
optimist2003 May 22, 2013 at 05:59:56 (UTC)
Goto Top
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.

Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".

Wieder was dazu gelernt.
Member: goscho
goscho May 22, 2013 at 07:28:19 (UTC)
Goto Top
Moin
Zitat von @optimist2003:
Es war also definitiv eine Anmeldung von aussen.
Nun wurden alle Passwörter geändert.
Jetzt ist wieder Ruhe.
Gut das der Fehler gefunden wurde.
Vermutlich lag es an einem "User" der intern zum scannen verwendet wird.
Sein Passwort war zu "einfach".
Wenn dafür ein User benötigt wird, so würde ich einen weiteren erstellen, der scannen darf und dem keine Anmeldung über OWA/OMA erlaubt wird.