SBS2011 versucht infizierte Mail zu versenden
Hallo zusammen,
mein Problem ist, dass unser SBS2011 ca. alle 8 Minuten versucht eine infizierte Mail zu versenden. Geblockt wird dieser Mailversand vom G Data AV Client, der auf diesem installiert ist, verwaltet vom G Data Management Server auf einem anderen Server. Ich bekomme jetzt haufenweise Alarmierungen vom Management Server und ich weiß nicht, wo ich suchen soll.
Das steht im Management Server Bericht:
[Status] [Client] [Datum/Uhrzeit] [Melder] [Virus] [Benutzer] [Datei/Mail/Inhalt]
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
..
..
... u.s.w.
Wie gesagt, alle paar Minuten kommt ein neuer Eintrag hinzu.
Unter den Spalten "Melder, Virus, Benutzer, Datei" steht nichts. Auch Datum/Uhrzeit der Meldung sind immer die gleiche.
Die Alarmierungsmail des AV Management Servers, die ins Admin-Postfach geschickt wird, sieht so aus:
Host: SBS2011
Benutzer:
Datum: 04.02.2014 17:35:05
Mail: \Betreff: Preparing For Tomorrow's Major Market Moves Today With Peter C. Advisor/Broker 949-302-9652 or 323-498-5160; Absender: lrrjzbhnanw@daysmedical.com; Empfänger: bestellservice@unseredomain.de\
Infektion:
Status: Versuch, eine infizierte Mail zu verschicken
In der Exchange Warteschlange ist nichts zu sehen.
Hat jemand eine Idee, wo ich den Versender suchen soll? Kann es ein infizierter Client im Netzwerk sein, oder ein Virus auf dem Server?
Bin euch für jeden Tipp dankbar!
Gruß, DQ
mein Problem ist, dass unser SBS2011 ca. alle 8 Minuten versucht eine infizierte Mail zu versenden. Geblockt wird dieser Mailversand vom G Data AV Client, der auf diesem installiert ist, verwaltet vom G Data Management Server auf einem anderen Server. Ich bekomme jetzt haufenweise Alarmierungen vom Management Server und ich weiß nicht, wo ich suchen soll.
Das steht im Management Server Bericht:
[Status] [Client] [Datum/Uhrzeit] [Melder] [Virus] [Benutzer] [Datei/Mail/Inhalt]
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
..
..
... u.s.w.
Wie gesagt, alle paar Minuten kommt ein neuer Eintrag hinzu.
Unter den Spalten "Melder, Virus, Benutzer, Datei" steht nichts. Auch Datum/Uhrzeit der Meldung sind immer die gleiche.
Die Alarmierungsmail des AV Management Servers, die ins Admin-Postfach geschickt wird, sieht so aus:
Host: SBS2011
Benutzer:
Datum: 04.02.2014 17:35:05
Mail: \Betreff: Preparing For Tomorrow's Major Market Moves Today With Peter C. Advisor/Broker 949-302-9652 or 323-498-5160; Absender: lrrjzbhnanw@daysmedical.com; Empfänger: bestellservice@unseredomain.de\
Infektion:
Status: Versuch, eine infizierte Mail zu verschicken
In der Exchange Warteschlange ist nichts zu sehen.
Hat jemand eine Idee, wo ich den Versender suchen soll? Kann es ein infizierter Client im Netzwerk sein, oder ein Virus auf dem Server?
Bin euch für jeden Tipp dankbar!
Gruß, DQ
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228944
Url: https://administrator.de/contentid/228944
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst? Dies kannst du über die Berichte machen, Rechtsklick auf das Ereignis und dann auswählen.
Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?
Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja, diese eventuell sperren (FW oder Receiveconnector). Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Gruß
@d4shoerncheN
was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst? Dies kannst du über die Berichte machen, Rechtsklick auf das Ereignis und dann auswählen.
Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?
Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja, diese eventuell sperren (FW oder Receiveconnector). Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Gruß
@d4shoerncheN
Absender: lrrjzbhnanw@daysmedical.com
LG, Thomas
Bin euch für jeden Tipp dankbar!
Ich fürchte fast, die Frage ist auch noch ernst gemeint?LG, Thomas
Hallo,
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Eventuell mal E-Mail Kontakt zum GData aufnehmen, die reagieren schnell.
Gruß
@d4shoerncheN
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.
Eventuell mal E-Mail Kontakt zum GData aufnehmen, die reagieren schnell.
Gruß
@d4shoerncheN
Hallo,
Wenn er in der Management-Konsole auf den Reiter "Berichte" klickt, kann man dort per Rechtsklick auf das Ereignis (z. B. Virenfund) auswählen was er tun soll - Quarantäne, löschen, etc.
Gruß
@d4shoerncheN
Gibt Gdata keine Handbücher für seine Software raus???
ich habe die Software momentan gerade in einer Testphase und bin eigentlich sehr zufrieden damit.Wenn er in der Management-Konsole auf den Reiter "Berichte" klickt, kann man dort per Rechtsklick auf das Ereignis (z. B. Virenfund) auswählen was er tun soll - Quarantäne, löschen, etc.
Gruß
@d4shoerncheN
Hallo,
da Gdata die Mail die Du über POP abholst erkennt und Blockst, wird die auf der Gegenseite auch nicht gelöscht, als noch zu übertragen gehandelt und schlägt immer wieder bei Dir auf.
Du musst in das Postfach auf dem Server von dem Du per POP abholst, dann dort die Mail löschen oder in einer VM analysieren.
Kann natürlich ein Falspositiv sein.
Gruß
Chonta
da Gdata die Mail die Du über POP abholst erkennt und Blockst, wird die auf der Gegenseite auch nicht gelöscht, als noch zu übertragen gehandelt und schlägt immer wieder bei Dir auf.
Du musst in das Postfach auf dem Server von dem Du per POP abholst, dann dort die Mail löschen oder in einer VM analysieren.
Kann natürlich ein Falspositiv sein.
Gruß
Chonta