misha
Goto Top

Spamrechner finden

guten morgen zusammen,

ich habe momentan ein riesen problem mit unserem email versand.

wir haben einen 2003 standart server, sowie 17 pc in der domaine. (xp pro sp3)
laut unserem provider werden über unsere (feste)ip spam mails versendet.
auch auf ein paar blacklisten sind wir schon zu finden face-sad

problem ist das ich absolut nicht weis wie ich den auslöser finden soll.
als email programm nutzen wir tobit david10 dort ist aber nichts zufinden über irgendwelchen fremden email versand.

virenscanner habe ich über alle pcs laufen lassen sowie alle pcs bereinigt und auf den neusten stand gebracht.
trotzdem werden immer noch täglich weiter bei den blacklisten neu aufgelistet.

wie kann ich dem ganzen herr werden bzw. wie gehe ich am besten vor um den verursacher zu finden?

gruss

Content-ID: 121534

Url: https://administrator.de/forum/spamrechner-finden-121534.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

Seardan
Seardan 29.07.2009 um 09:21:06 Uhr
Goto Top
Hallo,

wenn Ihr eine Firewall im Einsatz habt schau mal in die Log's.

Andreas
maretz
maretz 29.07.2009 um 09:21:58 Uhr
Goto Top
Hängt euer STMP (Tobit) direkt im Web oder wie nehmt ihr die Emails an? Ich würde gucken ob dieses System ggf. bereits ein Offenes Relay ist (entsprechende Checks findest du auf vielen Blacklists-Servern -> die können dann deinen Server testen). Meistens ist es nämlich einfach so das der STMP falsch konfiguriert ist -> da brauchts keinen großen Virus o.ä. für ;)
Misha
Misha 29.07.2009 um 09:23:50 Uhr
Goto Top
hi

habe an der fw am server geschaut, dort finde ich nichts.
die clients haben nur die windwos fw.

und an den clients weis ich absolut nicht wie ich vorgehn soll bzw. wie ich auch 100% sicher sein kann das es genau der eine rechner ist bzw genau das problem ist es.

ist alles nur schätzen und raten im moment bei mir face-sad

gruss
Misha
Misha 29.07.2009 um 09:25:22 Uhr
Goto Top
ja , der server hängt direkt im web.

bin zwar leihe was die gante spam sache angeht, werde aber mal im inet nach einem test schauen.

gruss
Weiricth
Weiricth 29.07.2009 um 09:26:37 Uhr
Goto Top
die frage ist eher wie ist euer exchange abgesichert kann man da mit telnet von internet auf port 25 drauf.

was macht der exchange wenn ein unautorisierter benutzer ne mail auf ihn sendet.

wie ist die verbindung von euch zum provieder. sendet ihr direct oder über den provieder. wie wird da die verbindung gesichert.

kann man wenn man das smtp konto des providers weis mails unautorisiert schicken .

also meine meinung ist nicht das deine clients ein problem haben meine meinung ist das die verbindung zwischen exchange und provider.
Misha
Misha 29.07.2009 um 09:30:02 Uhr
Goto Top
exchange nutzen wir ja nicht sondern tobit.
aber müsste dann nicht im protokoll zumindest die mail drinstehen die versendet wird?

dort stehen nur mails die da auch hinsollen.

open relay test sagt folgendes als ergebniss:

Relay test result
All tests performed, no relays accepted.


gruss
Misha
Misha 29.07.2009 um 09:34:00 Uhr
Goto Top
emails versenden tun wir direkt ohne einen provider dazwischen.
Misha
Misha 29.07.2009 um 09:53:50 Uhr
Goto Top
60730
60730 29.07.2009 um 10:00:10 Uhr
Goto Top
Moin,

:start
netstat |find ":25" >>\\server\freigabe\%computername%.log  
ping -n 10 127.0.0.1
goto start

Die nimmst du mal und läßt Sie auf einem Rechner nach dem anderen laufen - und brichst nach 10 minuten ab.

Vorher natürlich \\server\freigabe anpassen.

So solltest du recht schnell die Spamschleuder auch ohne echtes sniffen finden. (derjeinige welcher schreibt in die Log was rein- was niemand verschickt hat)

btw. Alle Winblowspatche installiert?
den kennst du und auch schon laufen lassen?

gruß
Misha
Misha 29.07.2009 um 10:08:42 Uhr
Goto Top
danke ,werde es direkt mal testen
crashzero2000
crashzero2000 29.07.2009 um 10:29:15 Uhr
Goto Top
Moin Misha,

wenn alle Stricke reißen müßtest du deinen Trafifc sniffen.
Aber erst solltest du die Standartprüfungen , Vorredner, durchziehen und ev. mal posten ....
Misha
Misha 29.07.2009 um 10:30:18 Uhr
Goto Top
mit einem sniffer habe ich es schon versucht, das waren aber soviele daten das ich schlichtweg überfordert war .-)

werde später erstmal die anderen sachen durchgehn und die ergebnisse hier posten.

danke und gruss
crashzero2000
crashzero2000 29.07.2009 um 10:38:31 Uhr
Goto Top
Teste mal hier :

http://whatismyipaddress.com/staticpages/index.php/is-my-ip-address-bla ...

und .... wäre nicht schlecht wenn dein Provider eine von den "Spam"-Mails mal abfischt und du dir den Header anschaust.
n.o.b.o.d.y
n.o.b.o.d.y 29.07.2009 um 14:12:05 Uhr
Goto Top
Hallo,

dann würde ich erstmal den Port 25 ausgehend in der FW für alle außer den Mailserver sperren. Dann kannst Du in Ruhe suche, ohne auf allen Blacklists dieser Welt zu landen. Denn es ist jan nicht gesagt, dass der Tobis als internes Relay genutzt wird.
crashzero2000
crashzero2000 29.07.2009 um 14:22:18 Uhr
Goto Top
nicht gesagt, dass der Tobit als internes Relay genutzt wird.

Jep, das vermute ich nämlich auch.
Misha
Misha 11.08.2009 um 11:12:12 Uhr
Goto Top
ok, das ganze scheint sich erledigt zu haben.
habe diverse virenscanner drüber laufen lassen , alles nochmal neu upgedatet und 2 pcs die mir riskannt schienen neu aufgesetzt.

von den blacklisten ist nur noch eine einzige überig und das wird auch noch .)

direkt eine frage noch dazu:

ich würde gerne trotzdem von den client pcs port 25 sperren nur wie ohne großen aufwand? bei win geht es ja nur andersrum, d.h. alles dicht und bestimmt ports offen.

eine freeware fw macht die nutzer nur verrückt durch fensterchen die dauernd aufgehn usw.

gibt es eine einfache möglichkeit nur den port 25 schnell und unkompliziert ausser gefecht zu setzen?

und schonmal danke an alle die so nett geholfen haben.

gruss
n.o.b.o.d.y
n.o.b.o.d.y 11.08.2009 um 17:50:45 Uhr
Goto Top
Hallo,

wir kennen deine Systemlandschaft nicht, aber es wird doch vor dem Internetzugang eine zentrale Firewall hängen, oder? Dort kannst Du für alle außer dem Mailserver den Port 25 sperren.