bootboy
Goto Top

Warteschlange Exchange

Hallo Leute,
Folgendes Problem:
Bei einem Kunden läuft ein SBS 2003 mit Exchange.
Seit einige Tagen laufen immer mehr Mails in die Warteschlange des Servers(SMTP out)
Alles googeln hilft nix......
Anbei ein Bild...
Irgendwelche Ideen?
Danke schon mal!!!


bb3c270454837c96d5ac7bc849641144

Content-ID: 138337

Url: https://administrator.de/contentid/138337

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

SlainteMhath
SlainteMhath 16.03.2010 um 10:54:14 Uhr
Goto Top
Moin,

ins blaue geraten:

smtp.inode.at - ist das der Smarthost des ISPs? Evtl. hat sich hier was beim Provider geändert? Authentifizierung ist i.O.? Firewall ist durchlaessig genug?

lg,
Slainte
45877
45877 16.03.2010 um 10:55:03 Uhr
Goto Top
hallo,

was steht im Eventlog, gehen normale Mails überhaupt noch raus oder wisst ihr nicht was für Mails da in der que sind?
Nutzlos
Nutzlos 16.03.2010 um 10:55:13 Uhr
Goto Top
Das kann sehr viele Ursachen haben.

Überprüfe als erstes ob alle Exchange-Dienste sauber gestartet sind. Dann überprüfe ob das SMTP-Protokoll in dem Exchange- System-Manager gestartet ist. Sind in den SMTP-Connectoren die richtigen Smarthosteinträge vorhanden. Kann der Server externe DNS-Abfragen auflösen. Ich hoffe hier waren ein paar Anregungen dabei.

Viel Erfolg
Bootboy
Bootboy 16.03.2010 um 11:06:14 Uhr
Goto Top
Also....smtp.inode.at ist der ISP, ja....
Authentifizierung , welche meinst Du hier?
Da hat sich nix geändert, das Problem tritt erst seit 2 oder 3 Tagen auf...
Ab und zu dürften normale Mails rausgehen, es scheinen hier sehr viele Spam Mails dabei zu sein.....
Exchange Dienste sind sauber gestartet,Protokoll läuft......
SMTP Connector sind die richtigen Smarthosteinträge vorhanden....
Server kann DNS auflösen.....
SlainteMhath
SlainteMhath 16.03.2010 um 11:12:36 Uhr
Goto Top
Authentifizierung , welche meinst Du hier?
Die mit der sich der Server beim SMTP des ISP anmeldet um Mail über ihn "relayen" zu dürfen.

Da hat sich nix geändert,
Wie oft hab ich das schon gehört? face-smile

das Problem tritt erst seit 2 oder 3 Tagen auf...
Ich würde einfach mal beim ISP nachfragen.

Schon mal versucht die Mails ohne Smarthost zuustellen? Oder ist das ein Consumer-DSL?
Bootboy
Bootboy 16.03.2010 um 11:45:07 Uhr
Goto Top
Zitat von @SlainteMhath:
> Authentifizierung , welche meinst Du hier?
Die mit der sich der Server beim SMTP des ISP anmeldet um Mail über ihn "relayen" zu dürfen.

OK, wo find ich da die Authentifizierung ?

> Da hat sich nix geändert,
Wie oft hab ich das schon gehört? face-smile

Aussage des ISP vor 2 Tagen..;=)

> das Problem tritt erst seit 2 oder 3 Tagen auf...
Ich würde einfach mal beim ISP nachfragen.

Schon mal versucht die Mails ohne Smarthost zuustellen? Oder ist das ein Consumer-DSL?
Wie mach ich das?
45877
45877 16.03.2010 um 11:55:08 Uhr
Goto Top
Hallo,

werden es mehr mails in der Warteschalneg auch wenn ihr nix versendet?
Hast du schon mal die Rechner kontrolleirt welcher dioe Spamschleuder sein könnte?
Auf offenes Relay geprüft?
Bootboy
Bootboy 16.03.2010 um 11:59:16 Uhr
Goto Top
Zitat von @45877:
Hallo,

werden es mehr mails in der Warteschalneg auch wenn ihr nix versendet?
Hast du schon mal die Rechner kontrolleirt welcher dioe Spamschleuder sein könnte?
Auf offenes Relay geprüft?

Mal werden es mehr, manchmal weniger......
Wie kann ich das denn am besten kontrollieren?
Offenes Relay?Bitte um Erklärung, Exchange is noch nich ganz mein Fachgebiet...;=)
45877
45877 16.03.2010 um 12:10:18 Uhr
Goto Top
Hallo,


irgendwoher müssen die Mails in der Wrteschlange ja kommen, drum als erstes mal kontrollieren ob euer Server ein
offenes Relay ist (ob andere über euch Spam verschicken)

http://wiki.hetzner.de/index.php/Mailserver_Relaytest
http://www.abuse.net/relay.html

Falls nicht, mal alle Outlook auf den Clients schließen und mit einem Netzwerksniffer nachsehen, welcher Rechner
versucht am Exchange seine Spammails loszuwerden.
www.wireshark.org
Wenn du weisst welcher Rechner der Bösewicht ist, den am besten neu aufsetzen.
Bootboy
Bootboy 16.03.2010 um 12:24:28 Uhr
Goto Top
Zitat von @45877:
Hallo,


irgendwoher müssen die Mails in der Wrteschlange ja kommen, drum als erstes mal kontrollieren ob euer Server ein
offenes Relay ist (ob andere über euch Spam verschicken)

http://wiki.hetzner.de/index.php/Mailserver_Relaytest
http://www.abuse.net/relay.html

Falls nicht, mal alle Outlook auf den Clients schließen und mit einem Netzwerksniffer nachsehen, welcher Rechner
versucht am Exchange seine Spammails loszuwerden.
www.wireshark.org
Wenn du weisst welcher Rechner der Bösewicht ist, den am besten neu aufsetzen.


All tests performed, no relays accepted.

Das kam zurück.....
45877
45877 16.03.2010 um 12:35:39 Uhr
Goto Top
Hallo,

dann sitzt der Überltäter wohl bei dir im Netzwerk.
Aktuellen Virenscanner hast du schon auf allen Rechnern?
Bootboy
Bootboy 16.03.2010 um 12:47:19 Uhr
Goto Top
Zitat von @45877:
Hallo,

dann sitzt der Überltäter wohl bei dir im Netzwerk.
Aktuellen Virenscanner hast du schon auf allen Rechnern?

Jawoll...Alle aktuell...
Bootboy
Bootboy 24.03.2010 um 10:54:19 Uhr
Goto Top
Zitat von @45877:
Hallo,


irgendwoher müssen die Mails in der Wrteschlange ja kommen, drum als erstes mal kontrollieren ob euer Server ein
offenes Relay ist (ob andere über euch Spam verschicken)

http://wiki.hetzner.de/index.php/Mailserver_Relaytest
http://www.abuse.net/relay.html

Falls nicht, mal alle Outlook auf den Clients schließen und mit einem Netzwerksniffer nachsehen, welcher Rechner
versucht am Exchange seine Spammails loszuwerden.
www.wireshark.org
Wenn du weisst welcher Rechner der Bösewicht ist, den am besten neu aufsetzen.


Hab jetzt Wireshark installiert, kannst Du mir vielleicht kurz sagen, wie ich die Rechner mal mitloggen kann?
Hab das noch nie im Einsatz gehabt...
Danke und LG
Bootboy
Bootboy 24.03.2010 um 14:19:30 Uhr
Goto Top
Bitte um Hilfe!!!!
Es gehen überhaupt keine Mails mehr raus, die Sache eskaliert......
45877
45877 24.03.2010 um 14:33:44 Uhr
Goto Top
Hallo,


wenn du wireshark auf dem Server startest hast du zuerst links die verschiedenen Netzwerkkarten zur Auswahl,
da nimmst du natürlich diejenige welche dich mit dem internen Netz verbindet (falls du überhaupt mehrere hast).
Dann gehst du oben auf Expression und scrollst bis smtp und markierst das, dann ok.
In dem grünen Feld sollte jetzt smtp stehen, dann auf auf das filter Symbol (edit/apply Filter).
Im neuen Fenster sollte smtp schon eingetragen sein und der Name für den Filter "New Filter".
Einmal noch auf ok und du siehst nur noch was an SMTP Traffic auf dieser Netzwerkkarte beim Server rein und raus geht.
Jetzt solltest du evtl. sehen welches Client versucht über den Exchange per SMTP zu versenden (wenn er es per smtp tut).
wenn du da noch nichts siehst musst du im gleichen Muster auch noch MAPI kontrolliern (bzw. auch IMAP und POP3 wenn das an eurem
Exchange konfiguriert ist).
Ich hoffe es war einigermassen verständlich, wenn nein einfach nochmal Fragen.
Bootboy
Bootboy 24.03.2010 um 14:50:16 Uhr
Goto Top
Da seh ich jetzt im Prinzip nur die IP des Servers...Die Mails, die reinkommen anscheinend.....
Und die IP der versendenden Server.....
Kein einziger Client, so wie es aussieht....
45877
45877 24.03.2010 um 15:11:20 Uhr
Goto Top
Hallo,

dann scau mal ob du was siehst wenn du nach MAPI filterst.
Bootboy
Bootboy 01.04.2010 um 14:32:59 Uhr
Goto Top
Kurzer Nachtrag:
Anscheinend wurde ein AD Account missbraucht,um fleissig zu spammen....
Haben jetzt am SMTP einen Beutzer mit PW hinterlegt, jetzt funkt alles wieder...
Danke an alle für die Hilfe!!!!