SPAM-Versand über VPN bzw. feste IP
Hallo liebe Admins, ich habe ein Problem, das nun schon über Monate anhält: unser Server versendet tausendfach Spam. Allerdings nur, wenn wir über eine feste öffentliche IP im Netz sind.
Hintergrund: wir nutzen LTE-Internet, da hier nichts anderes verfügbar ist. Eine feste IP bekommen wir über einen Router von mdex (http://www.mdex.de/produkte/publicip/publicip-adresse-im-lte-netz/). Die IP benötigen wir, um über VPN auf den Server zuzugreifen.
Unser Server läuft mit SBS2003, gesichert mit Kaspersky Small Office Security.
Sobald wir den Router von mdex einstecken, d.h. über die feste öffentliche IP erreichbar sind, beginnt unser Server nach ca. 1-2 Stunden, Spam zu versenden. Erst wenige, dann pro Stunde zigtausende. Dieser Spam ist nicht im Outlook Postausgang zu sehen, sondern nur in der Warteschlange im Exchange-System-Manager. Der Spam-Versand beginnt auch, wenn keiner unserer Mitarbeiter per VPN verbunden ist. Wir haben regelmäßig alle Passwörter und Zugangsdaten geändert, aber ohne Wirkung. Alle Workstations habe ich mit der Kaspersky Security CD gecheckt, inkl. Windows unlocker im Vorfeld.
mdex hat den Router gecheckt und folgendes gemeldet: "eine Analyse der Zugriffsmöglichkeiten auf das Gerät unter der öffentlichen IP Adresse hat ergeben, das der "Server" viele öffene Port nach außen anbietet. Das ist grundsätzlich nicht verboten, man sollte dann nur für die Sicherheit bei den an diese Ports zu erreichenden Diensten sorgen, oder diese Port für den Zugriff sperren. In Ihrem Fall ist u,a. der Port 25 (SMTP) von außen ungeschützt zu erreichen.
Damit kann "jeder" E-Mails über diesen Server verschicken. Das würde auch den Effekt erklären, dass SPAM-Mails von diesem Server versendet werden.
PORT STATE SERVICE VERSION
25/tcp open smtp Microsoft ESMTP 6.0.3790.4675 42/tcp open wins Microsoft Windows Wins 53/tcp open domain Microsoft DNS 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open tcpwrapped 110/tcp open pop3 MS Exchange 2003 pop3d 6.5.7226.0 (German) 135/tcp open msrpc?"
Habt Ihr eine Idee was man unternehmen könnte?
Viele Grüße,
Martin
Hintergrund: wir nutzen LTE-Internet, da hier nichts anderes verfügbar ist. Eine feste IP bekommen wir über einen Router von mdex (http://www.mdex.de/produkte/publicip/publicip-adresse-im-lte-netz/). Die IP benötigen wir, um über VPN auf den Server zuzugreifen.
Unser Server läuft mit SBS2003, gesichert mit Kaspersky Small Office Security.
Sobald wir den Router von mdex einstecken, d.h. über die feste öffentliche IP erreichbar sind, beginnt unser Server nach ca. 1-2 Stunden, Spam zu versenden. Erst wenige, dann pro Stunde zigtausende. Dieser Spam ist nicht im Outlook Postausgang zu sehen, sondern nur in der Warteschlange im Exchange-System-Manager. Der Spam-Versand beginnt auch, wenn keiner unserer Mitarbeiter per VPN verbunden ist. Wir haben regelmäßig alle Passwörter und Zugangsdaten geändert, aber ohne Wirkung. Alle Workstations habe ich mit der Kaspersky Security CD gecheckt, inkl. Windows unlocker im Vorfeld.
mdex hat den Router gecheckt und folgendes gemeldet: "eine Analyse der Zugriffsmöglichkeiten auf das Gerät unter der öffentlichen IP Adresse hat ergeben, das der "Server" viele öffene Port nach außen anbietet. Das ist grundsätzlich nicht verboten, man sollte dann nur für die Sicherheit bei den an diese Ports zu erreichenden Diensten sorgen, oder diese Port für den Zugriff sperren. In Ihrem Fall ist u,a. der Port 25 (SMTP) von außen ungeschützt zu erreichen.
Damit kann "jeder" E-Mails über diesen Server verschicken. Das würde auch den Effekt erklären, dass SPAM-Mails von diesem Server versendet werden.
PORT STATE SERVICE VERSION
25/tcp open smtp Microsoft ESMTP 6.0.3790.4675 42/tcp open wins Microsoft Windows Wins 53/tcp open domain Microsoft DNS 80/tcp open http Microsoft IIS webserver 6.0 88/tcp open tcpwrapped 110/tcp open pop3 MS Exchange 2003 pop3d 6.5.7226.0 (German) 135/tcp open msrpc?"
Habt Ihr eine Idee was man unternehmen könnte?
Viele Grüße,
Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197848
Url: https://administrator.de/contentid/197848
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
13 Kommentare
Neuester Kommentar
Vermutlich ist der SMTP-Empfangsconnector als Open-Relay konfiguriert, sprich er nimmt alles an, egal ob es für Ihn bestimmt ist oder nicht, liefert es dann aber auch an andere aus, wenn es nicht für Ihn ist. Den Connector musst du so einstellen, dass er aus dem öffentlichen Netz nur E-Mails annimmt, die er annehmen darf (also E-Mails die für euch sind) und nur aus dem privaten Netzwerk E-Mail annimmt, die nach draußen gehen dürfen.
Moin,
Polemisch gesagt:Euren nackten Arsch im Internet bedecken.
So wie es aussieht, betreibt Ihr ein offenes Relay (= nackter Arsch im Internet). entweder Ihr konfiguriert euren Exchange korrekt, oder sucht euch jemanden, der das kann. Oder ihr schaltet einfach einen msarthost dazwischen, z.B. auf linuxbasis, der das gröbste von Eurem Server fernhält.
lks
Nachtrag: Ach ja, eine Firewall zwischen Router und Eurem Netz wäre auch nicht das dümmste.
Polemisch gesagt:Euren nackten Arsch im Internet bedecken.
So wie es aussieht, betreibt Ihr ein offenes Relay (= nackter Arsch im Internet). entweder Ihr konfiguriert euren Exchange korrekt, oder sucht euch jemanden, der das kann. Oder ihr schaltet einfach einen msarthost dazwischen, z.B. auf linuxbasis, der das gröbste von Eurem Server fernhält.
lks
Nachtrag: Ach ja, eine Firewall zwischen Router und Eurem Netz wäre auch nicht das dümmste.
Ich kann mich den Anderen nur absolut zustimmend anschliessen.
Mir klingt es auch so danac h als das da keinerlei Firewall dazwischen hängt.
Auch was Lochkartenstanzer schreibt ist absolut korrekt, meiner Meinung nach.
Z "gesichert mit Kaspersky Small Office Security" kann ich nur sagen.
Ich kenne das nur von einem Blick auf die Webseite, aber von Firewall habe ich dort nichts gesehen.
Also was nutzt dir die Absicherung von intern nacgh extern, wenn von extern nach intern die Scheune auf ist.
Mich wundert es das ihr es Euch scheinbar leisten könnt, einen derartigen Zustand seit Monaten zu haben.
Ich würde Dir dringend raten einen externen Fachkundigen mit ins Boot zu nehmen.
LG
Hajowe
Mir klingt es auch so danac h als das da keinerlei Firewall dazwischen hängt.
Auch was Lochkartenstanzer schreibt ist absolut korrekt, meiner Meinung nach.
Z "gesichert mit Kaspersky Small Office Security" kann ich nur sagen.
Ich kenne das nur von einem Blick auf die Webseite, aber von Firewall habe ich dort nichts gesehen.
Also was nutzt dir die Absicherung von intern nacgh extern, wenn von extern nach intern die Scheune auf ist.
Mich wundert es das ihr es Euch scheinbar leisten könnt, einen derartigen Zustand seit Monaten zu haben.
Ich würde Dir dringend raten einen externen Fachkundigen mit ins Boot zu nehmen.
LG
Hajowe
Zitat von @martin-xyz:
Hallo catachan,
da ist tatsächlich nichts dazwischen, außer Kaspersky und der Windows Firewall. Kannst Du eine Firewall empfehlen
für einen Server, der fünf bis zehn Rechner ans Netz bringen muß?
Hallo catachan,
da ist tatsächlich nichts dazwischen, außer Kaspersky und der Windows Firewall. Kannst Du eine Firewall empfehlen
für einen Server, der fünf bis zehn Rechner ans Netz bringen muß?
Suche mal nach pfsense, monowall und aqui in diesem Forum. Dann kommen Dir tonnenweise Anleitungen entgegen.
Ansonsten Astaro, watchgard, CISCO PIX, Checkpoint, und die anderen üblichen Verdächtigen., je nach Geldbeutel.
Die Firewall ändert aber nichts an eurem offenen Relay. da müßt Ihr hand anlegen (lassen).
lks
Zitat von @martin-xyz:
... wir beschäftigen schon zwei EDV-Firmen, die sich intensiv damit auseinandersetzen.
... wir beschäftigen schon zwei EDV-Firmen, die sich intensiv damit auseinandersetzen.
Und ein offenes Relay nicht erkennen? Ups. Was ist deren Spezialität? Warenwirtschaft? Maschinensteuerung?
Für alles gibt es spezialisten. Man sollte den richtigen holen. Und ein ordenlicher IT-ler sollte Schneid genug haben, jemandem besseren mit ins Boot zu holen, wenn man selbst nicht mehr weiterkommt.
lks
Hallo,
Irgendwo muss doch ein Router stehen, oder? Der hat doch bestimmt NAT onboard, oder? Und er SBS hat seine eigene Firewall. Die ist auch besser als gar nichts. Aber das alles hilft nicht gegen ein Open Relay.
Warum diese ganzen geöffneten Ports? Dein SBS braucht nur:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)
443 TCP um damit RWW, OWA und RPC over HTTPs (Outlook over HTTPs) zu machen.
4125 TCP wenn RWW benutzt wird.
Port 80 TCP nur dann wenn es gewünscht wird das Anwender draussen im Internet anstelle von https auch http eingeben können (für die schreibfaulen)
http://support.microsoft.com/kb/324958/de
http://forums.msexchange.org/m_1800525576/mpage_1/key_/tm.htm#180052558 ...
http://www.mailradar.com/openrelay/
http://networktools.nl/
http://www.mxtoolbox.com/SuperTool.aspx
http://www.robtex.com/
Gruß,
Peter
Irgendwo muss doch ein Router stehen, oder? Der hat doch bestimmt NAT onboard, oder? Und er SBS hat seine eigene Firewall. Die ist auch besser als gar nichts. Aber das alles hilft nicht gegen ein Open Relay.
Kannst Du eine Firewall empfehlen
Jede Firewall kann das und ist besser als gar nichts. z.B. die Kostenlose Sphos UTM kann das auch. http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...Warum diese ganzen geöffneten Ports? Dein SBS braucht nur:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)
443 TCP um damit RWW, OWA und RPC over HTTPs (Outlook over HTTPs) zu machen.
4125 TCP wenn RWW benutzt wird.
Port 80 TCP nur dann wenn es gewünscht wird das Anwender draussen im Internet anstelle von https auch http eingeben können (für die schreibfaulen)
http://support.microsoft.com/kb/324958/de
http://forums.msexchange.org/m_1800525576/mpage_1/key_/tm.htm#180052558 ...
http://www.mailradar.com/openrelay/
http://networktools.nl/
http://www.mxtoolbox.com/SuperTool.aspx
http://www.robtex.com/
Gruß,
Peter
Zitat von @Pjordorf:
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)
25 TCP um Mails per SMTP anzunehmen (Open Relay ist normalerweise am SBS im Default nicht möglich)
Doch. Das passiert ganz schnell, wenn man den "konfigurations-Assistenten" falsch füttert.
lks
Moin
da muss ich auch noch mal eben meinen Senf dazu geben...
Ihr solltet euch ganz dringend auf die Suche nach einem Dienstleister begeben, der sich mit IT wenigstens rudimentär auskennt. Bei dem von dir beschriebenen Effekt ist das Erste, was ich als Admin mache, einen Relaytest auf den Server zu machen. Dauert 2 Minuten und das Problem wäre eingegrenzt gewesen. Ich staune da nicht schlecht, wenn ich lese, dass sich da bereits zwei
Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist ein "no go". Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen Ports im Internet offen hat. Da gilt eigentlich der Grundsatz erst einmal alles dicht zu machen und nur die Ports zu forwarden, die wirklich benötigt werden.
Gruß
da muss ich auch noch mal eben meinen Senf dazu geben...
Ihr solltet euch ganz dringend auf die Suche nach einem Dienstleister begeben, der sich mit IT wenigstens rudimentär auskennt. Bei dem von dir beschriebenen Effekt ist das Erste, was ich als Admin mache, einen Relaytest auf den Server zu machen. Dauert 2 Minuten und das Problem wäre eingegrenzt gewesen. Ich staune da nicht schlecht, wenn ich lese, dass sich da bereits zwei
Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist ein "no go". Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen Ports im Internet offen hat. Da gilt eigentlich der Grundsatz erst einmal alles dicht zu machen und nur die Ports zu forwarden, die wirklich benötigt werden.
Gruß
Zitat von @Hubert.N:
Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist
ein "no go".
Der Dienstleister, der bei einem Kunden einen Server direkt ins Internet stellt, der gehört eigentlich raus geworfen. Das ist
ein "no go".
Das würde ich so nicht unterschreiben. Es gibt auch Dienstleister die Ihr Handwerk verstehen und die Kisten dichtmachen können. Die sind dann aber meist zu teuer für die meisten BWLer, weil der Freund vom Kumpel des Sohnes des Geschäftsführers machts für ne Pizza.
Du musst dich nicht wundern, wenn dein Server zu einem Angriffsziel wird, wenn der alle möglichen
Ports im Internet offen hat.
Ports im Internet offen hat.
Honeypot?
lks