6
Spam Bot im Netz
Hallo zusammen
Ist Situation:
Exchange Server 2013 - Mail Appliance Reddoxx
Problem:
der Spam Bot belastet unser Appliance und Netzwerk ziemlich stark. Aber dank der Appliance werden wir nicht Blacklistet. Da dieser zuerst auf Spam prüft.
Versuch
- In Reddoxx sieht Man (SMTP Out), das Mails hängen bleiben, da die Mails nicht existieren. Man sieht den Absender nicht, nur durch den Spam Bot generierten Absender.
- Auch im Exchange Log sieht man den Absender nicht, das Feld ist einfach leer. Den Empfänger sieht man.
- In der Firewall (Fortigate) sehe ich auch keine besonderen Netzlast von Clients. Traffic auf Port 25 überprüft. Man sieht nur den Traffic von Exchange zur Reddoxx. Keine sonstigen Clients die Port 25 brauchen.
- Auf Open Relay geprüft via Mxtoolbox und http://www.mailradar.com/openrelay/ => ist auch i.o.
- Alle Clients durch unser Antivirus Software gescannt aber kein Erfolg.
Was kann ich sonst noch tun, um den Virus Spam Bot zu finden.
Ist Situation:
Exchange Server 2013 - Mail Appliance Reddoxx
Problem:
der Spam Bot belastet unser Appliance und Netzwerk ziemlich stark. Aber dank der Appliance werden wir nicht Blacklistet. Da dieser zuerst auf Spam prüft.
Versuch
- In Reddoxx sieht Man (SMTP Out), das Mails hängen bleiben, da die Mails nicht existieren. Man sieht den Absender nicht, nur durch den Spam Bot generierten Absender.
- Auch im Exchange Log sieht man den Absender nicht, das Feld ist einfach leer. Den Empfänger sieht man.
- In der Firewall (Fortigate) sehe ich auch keine besonderen Netzlast von Clients. Traffic auf Port 25 überprüft. Man sieht nur den Traffic von Exchange zur Reddoxx. Keine sonstigen Clients die Port 25 brauchen.
- Auf Open Relay geprüft via Mxtoolbox und http://www.mailradar.com/openrelay/ => ist auch i.o.
- Alle Clients durch unser Antivirus Software gescannt aber kein Erfolg.
Was kann ich sonst noch tun, um den Virus Spam Bot zu finden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309831
Url: https://administrator.de/contentid/309831
Ausgedruckt am: 15.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
nabend
hat dein Exchange kein AV ?
klem mal die Reddox ab... und schau was der Exchange macht....
Frank
hat dein Exchange kein AV ?
klem mal die Reddox ab... und schau was der Exchange macht....
Frank
Hallo,
wireshark auf dem Exchange und alle SMTP Verbindungne chekcne wer da was sendet.
Wenn das nicht geht Portmirroring vom Exchange zu einem Rechner an dem Du scannen kannst.
Ist er Server intern ein Openrelay? also Darf da jeder ohne Anmeldung per SMTP Mails versenden?
Welche Cleintsitzungen sind auf dem Server offen?
Welche Clients im Netz sind online / gezieltes Abschalten bestimmter Netzsegmente um zu sehen ob Mails stopen.
Evtl ist der Server selber die Spamschleuder.
Gruß
Chonta
wireshark auf dem Exchange und alle SMTP Verbindungne chekcne wer da was sendet.
Wenn das nicht geht Portmirroring vom Exchange zu einem Rechner an dem Du scannen kannst.
Ist er Server intern ein Openrelay? also Darf da jeder ohne Anmeldung per SMTP Mails versenden?
Welche Cleintsitzungen sind auf dem Server offen?
Welche Clients im Netz sind online / gezieltes Abschalten bestimmter Netzsegmente um zu sehen ob Mails stopen.
Evtl ist der Server selber die Spamschleuder.
Gruß
Chonta
Auf dem Exchange Server läuft ein AV.
Das möchte ich lieber als letzte Option ausprobieren. Da ich für das auch ein Zeitfenster benötigen würde.
Das möchte ich lieber als letzte Option ausprobieren. Da ich für das auch ein Zeitfenster benötigen würde.
Mit dem Wireshark werde ich noch ausprobieren.
Intern ist es Openrelay
Intern ist es Openrelay
Zitat von @cyborg19:
Auf dem Exchange Server läuft ein AV.
Das möchte ich lieber als letzte Option ausprobieren. Da ich für das auch ein Zeitfenster benötigen würde.
Wie jetzt- verstehe ich nicht... wird dein bald EXchange nicht mit einem für Exchange geeignetem AV program geschützt... so mit Mailbox und Transport schutz etc...Auf dem Exchange Server läuft ein AV.
Das möchte ich lieber als letzte Option ausprobieren. Da ich für das auch ein Zeitfenster benötigen würde.
und was probierst du da aus ?
Frank
Hallo,
Der Exchange sollte SMTP nur über Anmeldung akzeptieren oder wenn andere Server über den versenden, dan gibt es für diese Server eine Freigabe per IP aber generell Releay ist keine gute Idee in der heutigen Zeit und auch nicht Default bei 2013.
Wenn Du das umgestelt hast ist es einfacher zu ermitteln wer da SPAM-Schleuder ist.
Gruß
Chonta
Intern ist es Openrelay
Dann deaktivere das mal.Der Exchange sollte SMTP nur über Anmeldung akzeptieren oder wenn andere Server über den versenden, dan gibt es für diese Server eine Freigabe per IP aber generell Releay ist keine gute Idee in der heutigen Zeit und auch nicht Default bei 2013.
Wenn Du das umgestelt hast ist es einfacher zu ermitteln wer da SPAM-Schleuder ist.
Gruß
Chonta
