natscho21
Goto Top

Spamversand. Wie krieg ich den Übeltäter?

Ich habe ein Problem, dass ein Mailserver unseres Kunden Spams versendet. Es handelt sich um einen Exchange Server 2003. E-Mail Direktempfang ist eingerichtet.

Ich habe alles so eingerichtet wie hier beschrieben http://www.msxfaq.de/notfall/relay.htm. Um es zu checken habe ich hier http://www.mxtoolbox.com/ geprüft ob der Mailserver ein openRelay ist. Ist er aber nicht.

In den Mails, die der Mailserver versenden will steht folgendes im Header:

Received: from onlineupdate.com ([75.144.37.34]) by DNSNameDesKunden with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 22 Nov 2010 10:44:13 +0100
From: PayPal <security@onlineupdate.com>
To: corsanmtl@videotron.ca
Subject: *PayPal Payment Confirmation/Shipping Tracking Number Needed*
Date: 22 Nov 2010 03:44:10 -0600
Message-ID: <20101122034410.3966AA685DE2B8DC@onlineupdate.com>

Das weißt doch eigentlich auf ein Relay hin oder? Die andere Variante ist, dass ja das sich einer authentifiziert, aber wie krieg ich das raus mit welchem User die sich dort authenfizieren?

Vielen Dank für eure Hilfe!

Gruß
Natscho

Content-ID: 155627

Url: https://administrator.de/forum/spamversand-wie-krieg-ich-den-uebeltaeter-155627.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

kaiand1
kaiand1 23.11.2010 um 16:45:22 Uhr
Goto Top
Moin
Poste einfach mal den ganzen Header, dort steht sehr viele Infos.
Das was du gepostet hast deutet nur hin das die Mail von onlineupdate.com gekommen ist als letzter Server.
Natscho21
Natscho21 23.11.2010 um 16:53:01 Uhr
Goto Top
Hi, anbei der ganze Header:

Received: from onlineupdate.com ([75.144.37.34]) by DNSdesKunden with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 22 Nov 2010 10:44:13 +0100
From: PayPal <security@onlineupdate.com>
To: corsanmtl@videotron.ca
Subject: *PayPal Payment Confirmation/Shipping Tracking Number Needed*
Date: 22 Nov 2010 03:44:10 -0600
Message-ID: <20101122034410.3966AA685DE2B8DC@onlineupdate.com>
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Return-Path: security@onlineupdate.com
X-OriginalArrivalTime: 22 Nov 2010 09:44:13.0474 (UTC) FILETIME=[D22E6820:01CB8A29]

<html>
<title>*PayPal Payment Confirmation/Shipping Tracking Number Needed*</ti=
tle>
<FONT face=3DVerdana size=3D2>Dear PayPal Member,<br>
<br>

Mehr ist leider nicht aus der Mail rauszuholen nachdem ich sie aus der Queu rausgenommen habe.

Danke für deine Hilfe!
Gruß
Natscho
ollembyssan
ollembyssan 23.11.2010 um 16:56:06 Uhr
Goto Top
Hallo,

nun ja, der Header sagt aus, dass der Exchange die Mail angenommen hat.
Die Mail geht wohl an eine "nicht akzeptierte Domäne", da ich nicht denke, dass du die domäne videotron.ca verwaltest face-wink

Erweiterter Header wäre sinnvoll wie kaiand1 schon geschrieben hat, außerdem kannst du über nachrichtenstatus die nachricht verfolgen (messagetracking) in exchange 2003.
Natscho21
Natscho21 23.11.2010 um 17:13:27 Uhr
Goto Top
Hi,

recht haste, die domain videotron.ca verwalte ich nicht face-smile

Mit einem erweiterten Header kann ich leider nicht dienen. Das ist alles was ich aus der Nachricht rauskitzeln konnte, sowohl über die möglichkeiten in Outlook Express, als auch das was mir angezeigt wird, wenn ich die Datei mit einem Editor öffne.

Im Nachrichten Status sehe ich nur das die ERstellungszeit der 22.11. um 10:44 war. Abesender und Empfänger stimmen mit dem im Header geposteten überein. Der Nachrichtenverlauf zeigt nur auf, dass er sie
10:44 1. Nachricht an Warteschlangenmechanismus übermittelt.
10:44 2. Übermittlung an erweitertem Warteschlangenmechanismus begonnen
10:44 3. an Kategorisierungmodul
10:44 4. kategorisiert und zur weiterleitung an die Warteschlange gestellt
10:44 5. Nachricht wurde weitergeleitet udn zur Remoteübermittlung in die Warteschlange gestellt.
11:21 6. Beginn der ausgehenden Übermittlung
11:21 7. Nachricht mittels SMTP übertragen
11:36 8. Beginn der ausgehenden Übermittlung
11:36 9. Nachricht mittels SMTP übertragen

Das war es, dann habe ich die Mail aus der Queue genommen.

Ich bin für jede Idee offen face-smile

Gruß
Thorsten
ollembyssan
ollembyssan 23.11.2010 um 20:39:10 Uhr
Goto Top
Hallo Natscho,

das sieht allerdings schon so aus, als ob dein Exchange-Server hat offenes Relay darstellt, stimmst du mir da zu, oder?
Hast du einmal von intern getestet, ob dein Exchange als solcher reagiert, mittles Befehlszeilentool und Telnet per SMTP?

Ansonsten, da ich deine Konfiguration nicht kenne, solltest du deine akzeptierten Domänen überprüfen und ggf. Spamfilter in Exchange 2003 aktivieren, falls noch nicht geschehen.

Spamfilter im Exchange 2003 im System-Manager, Globale-Einstellungen, Eigenschaften der Nachrichtenübermittlung.
Unter Administrative Gruppen <Name der Gruppe>, Server, <Name des Servers>, Protokolle, SMTP, Virtueller Standardserver für SMTP
müssen die jeweiligen Filter noch aktiviert werden!

Wachsen Transaktionsprotokolle auf dem Exchange rapide an?, Transaktionsprotokolle unter Exchange 2003 haben eine Größe von 5MB, falls dein Exchange ein Offenes-Relay darstellt, kannst du nachsehen, wie schnell die Transaktionsprotokolle in der Menge ansteigen, welches ein erstes Anzeichen für ein Offenes-Relay darstellt.

Gruß,

Ole
Natscho21
Natscho21 01.12.2010 um 10:24:51 Uhr
Goto Top
Hi,

ich habe zwischenzeitlich eine Änderung vorgenommen. Auf dem SMTP Connector war der Exchange Server der als einziger als Relay eingetragener Server (wegen sendmail tool). Dort habe ich auch ihn entfernt und seit dem hat er keine Spams mehr versand.

Per Telnet konnte ich von aussen keine mails senden (unable to relay).

Ich werde das ganze die nächsten Tage weiter beobachten.

Danke für eure Hilfe.

Gruß
Natscho
Natscho21
Natscho21 14.12.2010 um 16:35:24 Uhr
Goto Top
Hi zusammen,

leider macht er es schon wieder:

2010-12-14 0:6:59 GMT 216.13.129.42 onlineupdate.com and/or Kundenserver 10.0.0.5 jstuckart2@new.rr.ca 1031 20101213080208.80916644F0333D82@onlineupdate.com 0 0 12709 1 2010-12-13 13:2:32 GMT 0 Version: 6.0.3790.3959 - Receipt for Your Payment to Plimus Ltd. security@onlineupdate.com -

Das kann meiner Meinung nach doch nur bedeuten, dass sich die IP 216.13.129.42 rechtmäßig authentifiziert, oder? Ich weiß nur noch nicht ob und wenn wo ich sehen kann mit welchem User sich da authentifiziert wird....

Weiß einer ob ich das irgendwo prüfen kann? BTW: Was erweiterte logging habe ich aktiviert, aber im Ereignisprotokoll seh ich leider nichts.

Vielen Dank
Gruß
Natscho
ollembyssan
ollembyssan 14.12.2010 um 16:39:42 Uhr
Goto Top
Natscho21
Natscho21 14.12.2010 um 16:58:52 Uhr
Goto Top
Hi,

der Filter ist aktiviert. Allerdings war die Absenderkennungsfilerung (Globale Einstellung/Nachrichtenübermittlung) auf Annehmen gestellt. Ich das jetzt mal auf Ablehnen gestellt.

Danke für den Hinweis.

Gruß
Natscho