necro306
Goto Top

Wie Exchange Server 2003 vor Spamversand schützen (553 Mailserver rejected)

Exchange Server 2003 in Spam Liste eingetragen (553 Mailserver rejected by)

Guten Abend,

heute Nachmittag wurde unser Exchange Server bei diversen Blacklisten eingetragen wegen übermäßigen Spamversand (Fehlercode beim Versenden: 553). Aktuell sind wir noch auf der Suche nach der Ursache, ev. Trojaner/Virus bei einer Workstation...

Aktuell erhalten die Benutzer beim Versenden von E-mails zum Beispiel folgende Fehlermeldung:

"Fehler bei der SMTP-Kommunikation mit dem E-Mail-Server des Empfängers. Wenden Sie sich an Ihren Systemadministrator.
<mailserver #5.5.0 smtp;553 sorry, your mailserver [91.xxx.xxx.xxx] is rejected by email.aon.at based on http://cbl.abuseat.org or http://www.njabl.org or http://www.dnsbl.manitu.net>;

Der Server verfügt über einen McAffee Virenscanner und der Standard-Firwall, weiters einer Hardwarefirewall (zusätzl. Router).
Die Workstation sind mit McAffee Virenscanner mit tägl. Aktualisierung ausgestattet.
Der Server hat kein Open Relay!! Server verfügt über eine fixe IP und Record der Domain wurde vom ISP auf den Server gelegt. Der Server versendet die Mails direkt und nicht über Relay!

Welche (softwareseitigen) Lösungsmodelle gibt es, um künftig unerlaubtes Versenden von E-mail über unseren Mailserver zu vermeiden? Problem hierbei ist wohl dass die Mails von Intern versendet werden? Absolute Kontrolle an den Client-Rechner ist kaum möglich, daher muss es doch eine Absicherung am Server geben??

Wäre für jeden Hinweis dankbar,

Sg, Gerold

Content-ID: 99177

Url: https://administrator.de/contentid/99177

Ausgedruckt am: 26.11.2024 um 00:11 Uhr

GuentherH
GuentherH 13.10.2008 um 22:30:15 Uhr
Goto Top
Hallo.

Welche (softwareseitigen) Lösungsmodelle gibt es, um künftig unerlaubtes Versenden von E-mail über unseren Mailserver zu vermeiden?

Wenn der Server relayfest ist, dann sollte es da keine Probleme geben - http://www.rbl.jp/svcheck.php und http://support.microsoft.com/default.aspx?scid=kb;de;304897

Problem hierbei ist wohl dass die Mails von Intern versendet werden?

Das sollte doch auch kein Problem sein. Firewall auch von innen nach außen dicht machen. Der einzige Server, der Mail versenden darf ist der Exchange Server

Absolute Kontrolle an den Client-Rechner ist kaum möglich

Doch, siehe Antwort vorher

daher muss es doch eine Absicherung am Server geben??

Obwohl äußerst selten (verseuchte Client suchen sich immer den direkten Weg nach draußen) kannst du am Exchange (virtuellen SMTP) auch verbieten, dass Clients darauf zugreifen dürfen.

LG Günther
Supaman
Supaman 13.10.2008 um 23:55:44 Uhr
Goto Top
sowas kann dir auch passieren, wenn deine domäne als absender mit einem open relay missbraucht wird.
necro306
necro306 14.10.2008 um 08:04:33 Uhr
Goto Top
Guten Morgen,

also die Relay-Checks zeigen kein offenes Relay!

Desweiteren habe ich nun Fehlermeldungen mit folgenden Inhalt erhalten:

"Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE MÜSSEN DIE NACHRICHT NICHT ERNEUT SENDEN.
Übermittlung an folgende Empfänger wurde verzögert. "

Ich werden heute nun die Warteliste überprüfen bzw. versuchen mittels Logs herrauszufinden wer die Flut an Mails versendet.
necro306
necro306 14.10.2008 um 08:07:21 Uhr
Goto Top
Zitat von @Supaman:
sowas kann dir auch passieren, wenn deine domäne als absender mit
einem open relay missbraucht wird.

sowas lässt sich dann generell nicht vermeiden??

Problem ist ja, wenn ich mich manuell aus den Blacklist-Datenbanken austrage und kurz darauf wieder eingetragen werden, kann es sein dass es danach nicht mehr möglich ist mich ohne größeren Aufwand wieder auszutragen!?
Supaman
Supaman 14.10.2008 um 13:34:09 Uhr
Goto Top
sowas lässt sich dann generell nicht vermeiden??
leider nicht. da kannst du nur abwarten bis das vorbei ist.

"Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE MÜSSEN DIE NACHRICHT NICHT ERNEUT SENDEN.
Übermittlung an folgende Empfänger wurde verzögert. "
das ist nur eine meldung des mailservers, das eine mail vorerst nicht zugestellt werden konnte. kann dir bei jeder mail passieren, wenn der andere mailserver aufgrund von offline, überlastung, falsches routing, falsche MX einträge grade nicht erreichbar ist.

Ich werden heute nun die Warteliste überprüfen bzw. versuchen mittels Logs herrauszufinden wer die Flut an Mails versendet.
das wird irgendein gehackter server sein oder einer der irgendwo in asien oder russland steht... bringt dich jedenfalls nicht weiter.
necro306
necro306 14.10.2008 um 14:22:35 Uhr
Goto Top
Zitat von @Supaman:
> Ich werden heute nun die Warteliste überprüfen bzw.
versuchen mittels Logs herrauszufinden wer die Flut an Mails
versendet.
das wird irgendein gehackter server sein oder einer der irgendwo in
asien oder russland steht... bringt dich jedenfalls nicht weiter.


wie du vermutest hast war in den wartelisten nichts zu erkennen! hab mich jetzt mal manuell aus den ersten blacklisten austragen lassen und hoffe nun dass das problem ein trojaner oder eben gefälschter absender ausgelöst hat!

Falls sich jedoch noch weitere Tipps und Hinweise hierzu finden wäre ich euch sehr dankbar!!

Vielen Dank!