Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Warteschlange voll - Mails vom Systemadministrator

Mitglied: bnagus

bnagus (Level 1) - Jetzt verbinden

23.02.2010 um 10:42 Uhr, 5705 Aufrufe, 3 Kommentare

Hallo

Ich bekomme seid neustem sehr viele Mails vom Systemadministrator. Hier mal der Header:
01.
Microsoft Mail Internet Headers Version 2.0
02.
Thread-Topic: Delivery Status Notification (Failure)
03.
thread-index: Acq0UP9hwnuzN1Z?????==
04.
Received: from server515.appriver.com ([72.32.253.71]) by mail.domain.de with Microsoft SMTPSVC(6.0.3790.3959); Tue, 23 Feb 2010 07:25:30 +0100
05.
Received: by server515.appriver.com (CommuniGate Pro PIPE 5.3.2)  with PIPE id 197294067; Tue, 23 Feb 2010 00:25:36 -0600
06.
Received: from [72.32.49.36] (HELO FE3.exchange.rackspace.com)  by server515.appriver.com (CommuniGate Pro SMTP 5.3.2)  with ESMTP id 197294064 for postmaster@domain.de; Tue, 23 Feb 2010 00:25:32 -0600
07.
Received: from 199317-SMTP03.exchange.rackspace.com ([192.168.1.114]) by FE3.exchange.rackspace.com with Microsoft SMTPSVC(6.0.3790.3959); Tue, 23 Feb 2010 00:25:30 -0600
08.
From: <postmaster@exchange.rackspace.com>
09.
To: <postmaster@domain.de>
10.
Date: Tue, 23 Feb 2010 00:25:30 -0600
11.
Content-Transfer-Encoding: 7bit
12.
MIME-Version: 1.0
13.
Content-Type: multipart/report;
14.
	boundary="9B095B5ADSN=_01CAB3972597E2A80000BDA1199317?SMTP03.ex";
15.
	report-type=delivery-status
16.
X-DSNContext: 335a7efd - 4523 - 00000001 - 80040546
17.
Message-ID: <0wQUfHjAr000065b9@199317-SMTP03.exchange.rackspace.com>
18.
Subject: Delivery Status Notification (Failure)
19.
X-OriginalArrivalTime: 23 Feb 2010 06:25:30.0225 (UTC) FILETIME=[FF02FE10:01CAB450]
20.
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4325
21.
X-Policy: GLOBAL - exchange.rackspace.com
22.
Content-Class: urn:content-classes:message
23.
Importance: normal
24.
Priority: normal
25.
X-Primary: 
26.
X-Note: This Email was scanned by AppRiver SecureTide
27.
X-Virus-Scan: V-X0M0
28.
X-Note-SnifferID: 0
29.
X-Note: TCH-CT/SI:0-247/SG:13 2/23/2010 12:25:00 AM
30.
X-GBUdb-Analysis: 1, 192.168.1.114, Ugly c=1 p=0.191455 Source Normal
31.
X-Signature-Violations: 0-0-0-10614-c
32.
X-Warn: BOUNCEBLOCK
33.
X-Note: Spam Tests Failed: BOUNCEBLOCK
34.
X-Country-Path: PRIVATE->UNITED STATES->UNITED STATES
35.
X-Note-Sending-IP: 72.32.49.36
36.
X-Note-Reverse-DNS: 
37.
X-Note-WHTLIST: 
38.
X-Note: User Rule Hits: 
39.
X-Note: Global Rule Hits: G173 G174 G175 G176 G180 G181 G226 G279 
40.
X-Note: Encrypt Rule Hits: 
41.
X-Note: Mail Class: VALID
42.
Return-Path: 
43.

44.
--9B095B5ADSN=_01CAB3972597E2A80000BDA1199317?SMTP03.ex
45.
Content-Transfer-Encoding: 7bit
46.
Content-Type: text/plain;
47.
	charset="unicode-1-1-utf-7"
48.

49.
--9B095B5ADSN=_01CAB3972597E2A80000BDA1199317?SMTP03.ex
50.
Content-Transfer-Encoding: 7bit
51.
Content-Type: message/delivery-status
52.

53.
--9B095B5ADSN=_01CAB3972597E2A80000BDA1199317?SMTP03.ex
54.
Content-Transfer-Encoding: 7bit
55.
Content-Type: message/rfc822
56.

57.
Received: from outbound.appriver.com ([207.97.204.36]) by 199317-SMTP03.exchange.rackspace.com with Microsoft SMTPSVC(6.0.3790.3959);
58.
	 Tue, 23 Feb 2010 00:25:30 -0600
59.
Received: from [10.238.8.159] (HELO inbound.appriver.com)
60.
  by outbound.appriver.com (CommuniGate Pro SMTP 5.3.2)
61.
  with ESMTP id 985134064 for cystsa@replacementservices.com; Tue, 23 Feb 2010 01:25:30 -0500
62.
Received: by inbound.appriver.com (CommuniGate Pro PIPE 5.1.7)
63.
  with PIPE id 601228916; Tue, 23 Feb 2010 01:25:30 -0500
64.
Received: from [IP] (HELO mail.domain.de)
65.
  by inbound.appriver.com (CommuniGate Pro SMTP 5.1.7)
66.
  with ESMTP id 601228908 for cystsa@replacementservices.com; Tue, 23 Feb 2010 01:25:29 -0500
67.
From: postmaster@domain.de
68.
To: cystsa@replacementservices.com
69.
Date: Tue, 23 Feb 2010 07:25:21 +0100
70.
MIME-Version: 1.0
71.
Content-Type: multipart/report; report-type=delivery-status;
72.
	boundary="9B095B5ADSN=_01CAAFA8EFB6083200017DC2mail.domain.de"
73.
X-DSNContext: 335a7efd - 4523 - 00000001 - 80040546
74.
Message-ID: <M81SIMQ5F00009994@mail.domain.de>
75.
Subject: Benachrichtung  
76.
	zum  
77.
	=?unicode-1-1-utf-7?Q?+ANw-bermittlungsstatus  
78.
	(Fehlgeschlagen)?=
79.
X-Policy: replacementservices.com
80.
X-Primary: cystsa@replacementservices.com
81.
X-Note: This Email was scanned by AppRiver SecureTide
82.
X-Virus-Scan: V-X0M0
83.
X-Note-SnifferID: 0
84.
X-Note: TCH-CT/SI:0-133/SG:7 2/23/2010 1:24:33 AM
85.
X-GBUdb-Analysis: 0, IP, Ugly c=0 p=0 Source New
86.
X-Signature-Violations:
87.
	0-0-0-4489-c
88.
X-Note: SCH-CT/SI:0-1271/SG:1 2/23/2010 1:25:14 AM
89.
X-Warn: BOUNCEBLOCK Contains questionable phrase
90.
X-Warn: RETURNPATH No Return Path Listed.
91.
X-Warn: WEIGHT10
92.
X-Warn: WEIGHT15
93.
X-Note: Spam Tests Failed: BOUNCEBLOCK, RETURNPATH, WEIGHT10, WEIGHT15
94.
X-Country-Path: GERMANY->UNITED STATES
95.
X-Note-Sending-IP: IP
96.
X-Note-Reverse-DNS: mail.domain.de
97.
X-Note-WHTLIST: 
98.
X-Note: User Rule Hits: 
99.
X-Note: Global Rule Hits: G173 G174 G175 G176 G180 G181 G226 G264 G274 G275 G279 
100.
X-Note: Encrypt Rule Hits: 
101.
X-Note: Mail Class: VALID
102.
Return-Path: postmaster@domain.de
103.
X-OriginalArrivalTime: 23 Feb 2010 06:25:30.0089 (UTC) FILETIME=[FEEE3D90:01CAB450]
104.

105.
--9B095B5ADSN=_01CAAFA8EFB6083200017DC2mail.domain.de
106.
Content-Type: text/plain; charset=unicode-1-1-utf-7
107.

108.
--9B095B5ADSN=_01CAAFA8EFB6083200017DC2mail.domain.de
109.
Content-Type: message/delivery-status
110.

111.
--9B095B5ADSN=_01CAAFA8EFB6083200017DC2mail.domain.de
112.
Content-Type: message/rfc822
113.

114.
Received: from CYDVASCF ([59.98.8.129]) by mail.domain.de with Microsoft SMTPSVC(6.0.3790.3959);
115.
	 Tue, 23 Feb 2010 07:25:19 +0100
116.
Date: Tue, 23 Feb 2010 11:55:21 +0530
117.
From: "Lacey Mcintosh" <cystsa@replacementservices.com>
118.
Subject: Viel  Taler in  kleiner Zeit
119.
To: <carina.steinemer@domain.de>
120.
Message-ID: <000d01cab450$f9a98420$6400a8c0@cystsa>
121.
MIME-Version: 1.0
122.
X-MIMEOLE: Produced By Microsoft MimeOLE V6.0.6001.18049
123.
X-Mailer: Microsoft Windows Mail 6.0.6001.18000
124.
Content-type: text/plain; format=flowed; charset=iso-8859-1; reply-type=original
125.
Content-transfer-encoding: 7bit
126.
X-Priority: 3
127.
X-MSMail-priority: Normal
128.
Return-Path: cystsa@replacementservices.com
129.
X-OriginalArrivalTime: 23 Feb 2010 06:25:21.0065 (UTC) FILETIME=[F98D4990:01CAB450]
130.

131.

132.
--9B095B5ADSN=_01CAAFA8EFB6083200017DC2mail.domain.de--
133.

134.
--9B095B5ADSN=_01CAB3972597E2A80000BDA1199317?SMTP03.ex--
Das sind alle par Minuten 10 Stück.
Außerdem ist die Exchange Warteschlange immer mit fremden Mails überlaufen. Hier mal ein Screenshot:
cb337afa062cd4478ad82dcf03e8f330 - Klicke auf das Bild, um es zu vergrößern

Ich habe schon mit http://www.mxtoolbox.com die Tests laufen lassen, aber keine Fehler gefunden.

Hier noch ein paar Infos zum System:
Windows 2003 Server
Exchange 2003
feste IP mit eigener Domain

Ich vermute das von außen unser Exchange Server als Spam Server genutzt wird.
Wie kann ich das unterbinden?

Danke für eure Hilfe!!
Mitglied: SlainteMhath
23.02.2010 um 11:39 Uhr
Moin,

wenn ich das richtig sehe, sind das NDR's die von deinem Exchange erstellt werden. D.h. jemand schickt dir massiv viele Spam-Mails mit "erfundenen" Empfängern in der Hoffnung das einige echte empfänger getroffen werden.

Verhindern kann man das (am Exchange selber) nicht - es sei denn Du schlatest NDRs komplett ab.

lg,
Slainte
Bitte warten ..
Mitglied: bnagus
23.02.2010 um 11:46 Uhr
Hi

Danke für die Antwort.

Ist das auch die Ursache für die übervolle Warteschlange?
Bitte warten ..
Mitglied: datasearch
23.02.2010 um 12:36 Uhr
Prüfe bitte ganz genau was das für Nachrichten sind. Reine DSN (NDR für Exchange-Leute) Meldungen sollten eigentlich nicht bei nicht-existierenden Benutzern deiner Domäne gesendet werden. Diese sendet der Server nur, wenn jemand versucht an eine nicht existierende Relay-Domain zu senden.

Normalerweise verbinden andere Mailserver mit deinem System um Mails für DEINE domain zuzustellen. Wenn der User nicht existiert, erhält der Server eine Fehlermeldung im SMTP-Chat. Eine DSN wird nicht gesendet.

Wenn einer deiner User an externe Domains schickt und der Zielserver eine solche Meldung im SMTP-Chat bringt, sendet dein Server eine DSN (NDR) an den Absender der Nachricht.

Das was du bei dir siehst, ist ganz typisch für eine Warteschlange auf einem offenem Relay. Irgendwelche User von Extern versuchen über deinen Server nachrichten an andere Domains zu schicken. Die zurücklaufenden DSNs der anderen Mailserver flooten dir dann dein Admin-Postfach.

Sende mir bitte mal per PN deine Domain. Ich werde mal testen ob der Server ein offenes Relay ist. Sollte das nicht der Fall sein, hat entweder jemand eine Schwachstelle ausgenutzt oder verfügt über Zugangsdaten eines Users.
Bitte warten ..
Ähnliche Inhalte
Off Topic

Systemadministrator vs. Specialist Systemadministrator

gelöst Frage von makaroniOff Topic5 Kommentare

Hey zusammen, was ist der Unterschied zwischen Systemadministrator und Specialist Systemadministrator? Kann man das eingrenzen oder ist das ähnlich ...

Windows 10

Systemadministrator

gelöst Frage von heugsterWindows 1020 Kommentare

Seit einiger zeit kann ich MRT an der Tesktopleiste das Tool nicht mehr öffnen. Nach den anklicken kommt der ...

Weiterbildung

Gehaltsvorstellung Systemadministrator

gelöst Frage von honeybeeWeiterbildung6 Kommentare

Hallo, diese Frage gab es schon mehrmals, aber die Antworten sind nicht immer aktuell. Was kann eurer Meinung nach ...

Notebook & Zubehör

Notebook für Systemadministrator

Frage von banane31Notebook & Zubehör21 Kommentare

Guten Abend zusammen ich stehe aktuell vor der Qual der Wahl. Ich darf mir ein neues Arbeitsgerät aussuchen und ...

Neue Wissensbeiträge
Rechtliche Fragen
Unitymedia siegt vor dem BGH
Information von transocean vor 18 StundenRechtliche Fragen3 Kommentare

Moin, lt. einem aktuellen Urteil darf UM Mietrouter seiner Kunden weiterhin in Hotspots verwandeln. Nachlesen kann man das hier. ...

Router & Routing
Der "768k-Day" kommt
Information von LordGurke vor 1 TagRouter & Routing2 Kommentare

Für Leute, die Router mit BGP-Fulltable betreiben vielleicht ein interessanter Hinweis: Die IPv4-Fulltable erreicht voraussichtlich innerhalb der nächsten 2-3 ...

Debian

Partition angeblich voll, dabei aber noch nicht mal zur Hälfte belegt

Anleitung von diemilz vor 1 TagDebian8 Kommentare

Hallo zusammen, ich habe ein kleines Problem: Ich habe auf einem physischen Debian Linux Server als ZoneMinder-Server (HP ProLiant ...

Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 6 TagenWindows 73 Kommentare

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Heiß diskutierte Inhalte
HTML
Bild hochladen mit html auf die Webseite
gelöst Frage von WorldoftheitHTML63 Kommentare

Will eine Seite entwickeln im Internet aber Das Bild wird nicht angezeigt woran kann das liegen? Wäre für jede ...

Vmware
Terminalserver VM - Videos ruckeln
Frage von easyriderVmware29 Kommentare

Hallo zusammen, wir haben einen (free) ESXi 5.5 auf einem HP DL 380 G8 im Einsatz. Darauf läuft, unter ...

Festplatten, SSD, Raid
Harddisk kaputt, was sagt mir ChrystalDiskInfo
gelöst Frage von InfoSeekerFestplatten, SSD, Raid23 Kommentare

Hallo zusammen, Mein Rechner lahmt. Ich stell mir die Frage woran es liegt und bin der Meinung es ist ...

Backup
Veeam Community Edition
gelöst Frage von dgrebnerBackup23 Kommentare

Hallo Zusammen, kann jemand seine praktischen Erfahrungswerte mit der Veeam-Community Edition mit mir teilen? Es gab dazu ja schon ...