donquichote
Goto Top

SBS2011 versucht infizierte Mail zu versenden

Hallo zusammen,

mein Problem ist, dass unser SBS2011 ca. alle 8 Minuten versucht eine infizierte Mail zu versenden. Geblockt wird dieser Mailversand vom G Data AV Client, der auf diesem installiert ist, verwaltet vom G Data Management Server auf einem anderen Server. Ich bekomme jetzt haufenweise Alarmierungen vom Management Server und ich weiß nicht, wo ich suchen soll.

Das steht im Management Server Bericht:

[Status] [Client] [Datum/Uhrzeit] [Melder] [Virus] [Benutzer] [Datei/Mail/Inhalt]

Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
Versuch, eine infizierte Mail zu verschicken SBS2011 04.02.2014 17:35:05 AntiVirus Mail
..
..
... u.s.w.


Wie gesagt, alle paar Minuten kommt ein neuer Eintrag hinzu.
Unter den Spalten "Melder, Virus, Benutzer, Datei" steht nichts. Auch Datum/Uhrzeit der Meldung sind immer die gleiche.

Die Alarmierungsmail des AV Management Servers, die ins Admin-Postfach geschickt wird, sieht so aus:

Host: SBS2011
Benutzer:
Datum: 04.02.2014 17:35:05
Mail: \Betreff: Preparing For Tomorrow's Major Market Moves Today With Peter C. Advisor/Broker 949-302-9652 or 323-498-5160; Absender: lrrjzbhnanw@daysmedical.com; Empfänger: bestellservice@unseredomain.de\
Infektion:
Status: Versuch, eine infizierte Mail zu verschicken

In der Exchange Warteschlange ist nichts zu sehen.

Hat jemand eine Idee, wo ich den Versender suchen soll? Kann es ein infizierter Client im Netzwerk sein, oder ein Virus auf dem Server?

Bin euch für jeden Tipp dankbar!

Gruß, DQ

Content-ID: 228944

Url: https://administrator.de/contentid/228944

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

d4shoerncheN
d4shoerncheN 06.02.2014 aktualisiert um 16:14:37 Uhr
Goto Top
Hallo,

was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst? Dies kannst du über die Berichte machen, Rechtsklick auf das Ereignis und dann auswählen.

Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?

Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?

Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja, diese eventuell sperren (FW oder Receiveconnector). Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.

Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.

Gruß
@d4shoerncheN
keine-ahnung
keine-ahnung 06.02.2014 um 16:07:30 Uhr
Goto Top
Zitat von @DonQuichote:

Hat jemand eine Idee, wo ich den Versender suchen soll?
Absender: lrrjzbhnanw@daysmedical.com
Bin euch für jeden Tipp dankbar!
Ich fürchte fast, die Frage ist auch noch ernst gemeint?

LG, Thomas
DonQuichote
DonQuichote 06.02.2014 um 16:13:00 Uhr
Goto Top
Sorry, ich meinte nicht den Absender. Unglückliche Wortwahl. Meinte die versendende Software, sprich Virus oder was da auch immer als versendende Komponente in Frage kommen könnte.

Gruß, DQ
d4shoerncheN
d4shoerncheN 06.02.2014 um 16:15:17 Uhr
Goto Top
Hallo,

Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.

Eventuell mal E-Mail Kontakt zum GData aufnehmen, die reagieren schnell.

Gruß
@d4shoerncheN
keine-ahnung
keine-ahnung 06.02.2014 um 16:19:24 Uhr
Goto Top
Hast Du mal überlegt, ob d4shoernchen nicht auf dem richten Weg ist?

Ich kenne jetzt den Scanner nicht, aber der sollte doch eine Option haben, die angemeckerte Mail aus der queue zu isolieren oder gleich zu löschen?? Gibt Gdata keine Handbücher für seine Software raus???

LG, Thomas
d4shoerncheN
d4shoerncheN 06.02.2014 um 16:22:02 Uhr
Goto Top
Hallo,

Gibt Gdata keine Handbücher für seine Software raus???
ich habe die Software momentan gerade in einer Testphase und bin eigentlich sehr zufrieden damit.

Wenn er in der Management-Konsole auf den Reiter "Berichte" klickt, kann man dort per Rechtsklick auf das Ereignis (z. B. Virenfund) auswählen was er tun soll - Quarantäne, löschen, etc.

Gruß
@d4shoerncheN
DonQuichote
DonQuichote 06.02.2014 um 16:28:47 Uhr
Goto Top
Zitat von @d4shoerncheN:

@d4shoerncheN

was passiert wenn du über den GData Management Server den Virus aus der Datei entfernst?

Datei entfernen ist ausgegraut, nicht wählbar.

Wie ist der Exchange konfiguriert? POP-Connector oder SMTP-Empfang?
Ist den Fehlermeldung denn auch so gemeint? Laut deinem Auszug sieht es ehr danach aus, dass Ihr die E-Mails von außerhalb
bekommt und der GData beim Zustellen an den Exchange die Mail blockiert.

POPcon (Servolutions) holt die Mails via POP3 (SSL) beim Provider aus einem Sammelpostfach ab und gibt diese zur Verteilung an den Exchange weiter. Ist auf dem SBS installiert. Hab auch schon versuchsweise den POPcon Dienst auf dem SBS beendet. Die Meldungen vom G Data liefen aber trotzdem weiter. Schließe somit den Weg über den Empfangsconnector aus.

Mal das Logging für den Sende- und Empfangsconnector eingeschaltet?

Nein. Aktiviere ich aber gleich.

Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch? Wenn ja,
diese eventuell sperren (FW oder Receiveconnector).

Ist mit schon ein wenig unangenehm... wo finde ich den SMTP Log? Bin kein Exchange Überflieger ...

Ändern der Passwörter könnte eventuell auch helfen, bei jedem Account der angemeldet ist.

Werde ich versuchen, wenn ich nicht weiterkomme.

Danke schon mal!

Gruß, DQ
Chonta
Chonta 06.02.2014 um 16:41:33 Uhr
Goto Top
Hallo,

da Gdata die Mail die Du über POP abholst erkennt und Blockst, wird die auf der Gegenseite auch nicht gelöscht, als noch zu übertragen gehandelt und schlägt immer wieder bei Dir auf.
Du musst in das Postfach auf dem Server von dem Du per POP abholst, dann dort die Mail löschen oder in einer VM analysieren.
Kann natürlich ein Falspositiv sein.

Gruß

Chonta
DonQuichote
DonQuichote 07.02.2014 um 12:29:04 Uhr
Goto Top
Hallo Chonta,

habe alle Mails im Sammelpostfach beim Provider gelöscht. Auch die nicht zugestellten Mails aus dem Ordner "Badmail" von meiner Connectorsoftware POPcon, welche die Mails beim Provider abholt und an den Exchange weiterreicht, habe ich gelöscht. Von da kommt also auch nix.
Habe jetzt das Loggen im Exchange aktiviert und mir die Logs SmtpReceive und SmtpSend unter "C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog" angeguckt, finde aber nix auffälliges.

Und die Meldungen gehen munter weiter.

Was zum Geier versucht immer wieder diese Mail abzusetzen, so das GData ständig anschlägt? Wie krieg ich das raus?

Gruß, DQ