kevinfree
Goto Top

Wurde unser server gehackt?

Hallo,
ich bekomme auf meinen AP immer folgende MAils mit unterschiedlichen Inhalt:

Fehler bei der Zustellung der Nachricht an folgende Empfänger oder Verteilerlisten:

stein@pinnau.de
Microsoft Exchange hat ohne Erfolg versucht, diese Nachricht zuzustellen, und die Wiederholungsversuche eingestellt. Versuchen Sie später, diese Nachricht erneut zu senden, oder wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator.
_____

Mit Microsoft Exchange Server 2007 gesendet

Diagnoseinformationen für Administratoren:

Generierender Server: pinnauMail.PINNAU.local

stein@pinnau.de
#550 4.4.7 QUEUE.Expired; message expired ##

Ursprüngliche Nachrichtenkopfzeilen:

Received: from [186.122.130.187] (186.122.130.187) by pinnauMail.PINNAU.local
(192.168.1.20) with Microsoft SMTP Server (TLS) id 8.1.393.1; Sat, 6 Mar
2010 07:36:41 +0100
From: Pharmacy for men only <To: <stein@pinnau.de>
Subject: === Wake up, stein don't miss 79% OFF! ===
Date: Sat, 6 Mar 2010 04:38:51 -0200
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <3939b41d-d4b6-4bcd-807e-7550b97351c4@pinnauMail.PINNAU.local>
Return-Path: stein@pinnau.de


Wie stelle ich fest, ob unser Server als SpamSchleuder mißbraucht wird.
Ich habe fast keine Exchangekenntnisse und wir haben keinen Admin.

Die Email hat das interne Symbol, so wie wenn man Nachrichten vom Exchange erhält.


Könnt IHr mir helfen?

Grüße von der Küste

Kev

Content-ID: 137626

Url: https://administrator.de/forum/wurde-unser-server-gehackt-137626.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

tmystr
tmystr 08.03.2010 um 08:44:36 Uhr
Goto Top
Guten Morgen,

vielleicht findest du hier ja info´s darüber face-wink
http://www.google.de/#hl=de&source=hp&q=%23550+4.4.7+QUEUE.Expi ...

lg
tmystr
KevinFree
KevinFree 08.03.2010 um 08:56:53 Uhr
Goto Top
Zitat von @tmystr:
Guten Morgen,

vielleicht findest du hier ja info´s darüber face-wink
http://www.google.de/#hl=de&source=hp&q=%23550+4.4.7+QUEUE.Expi ...

lg
tmystr

Moin, nö, finde ich nicht face-wink face-wink face-wink face-wink face-wink face-wink face-wink face-winkface-wink face-wink
#550 4.4.7 QUEUE.Expired; message expired ## heißt: Email nicht raus. Klar soweit! Du wirst es vielleicht nicht glauben, aber wir verschicken keine Nachrichten mit ''Wake up, stein don't miss 79% OFF''...

Noch jemand eine Idee?

Grüße von der Küste

kev
Pjordorf
Pjordorf 08.03.2010 um 09:08:01 Uhr
Goto Top
Hallo kev,

sendest du per SMTP Realy (Smarthost oder DNS). Hast du schon auf Open Relay geprüft? http://www.msxfaq.de/internet/relaytest.htm, http://www.abuse.net/relay.html, https://www.dnsexit.com/Direct.sv?cmd=testMailServer

Evtl. ist es aber besser, du holst dir externe hilfe dazu.
Peter
maretz
maretz 08.03.2010 um 09:11:56 Uhr
Goto Top
Moin,

erstmal prüfe dein System ob du als Open Relay zählst.

DANN prüfe mal wer zum Senden im Exchange berechtigt ist und den Server als Relay nutzen darf. AUCH die Internen IPs dabei beachten.

Als nächstes führe einen vollständigen Virenscan durch - und checke auch mal auf allen Systemen die diesen Server als Relay nutzen dürfen dort die Virenscanner.

Falls gar nichts hilft musst du dir die Mail mal genau angucken - ggf. steht dort die Host-IP von dem sender drin (im Header) ...
SlainteMhath
SlainteMhath 08.03.2010 um 09:42:02 Uhr
Goto Top
Moin,

Ich habe fast keine Exchangekenntnisse und wir haben keinen Admin.
Also ehrlich gesagt wird das schwer face-smile

Wenn ich die Mail richtig interpretiere, handelt es sich doch um eingehende Mails....
Received: from [186.122.130.187] (186.122.130.187) by pinnauMail.PINNAU.local (192.168.1.20) with Microsoft SMTP Server (TLS) id 8.1.393.1; Sat, 6 Mar 2010 07:36:41 +0100
From: Pharmacy for men only <To: <stein@pinnau.de>

...an einen Internen Empfäner
Fehler bei der Zustellung der Nachricht an folgende Empfänger oder Verteilerlisten:
stein@pinnau.de

Ggfs ist da noch mehr "kaputt"

Ich schlies' mich Pjordorf an:

Evtl. ist es aber besser, du holst dir externe hilfe dazu.

lg,
Slainte
KevinFree
KevinFree 08.03.2010 um 09:52:58 Uhr
Goto Top
Zitat von @Pjordorf:
Hallo kev,

sendest du per SMTP Realy (Smarthost oder DNS). Hast du schon auf Open Relay geprüft?
http://www.msxfaq.de/internet/relaytest.htm, http://www.abuse.net/relay.html,
https://www.dnsexit.com/Direct.sv?cmd=testMailServer

Evtl. ist es aber besser, du holst dir externe hilfe dazu.
Peter

Hi Peter, danke für den Tip. ich komme mit Abuse nicht klar. Ich kann mich da nciht registrieren, außer gegen Geld 1$ pro Mail. Gibt es den Test auch für lau?

Grüß Kev
KevinFree
KevinFree 08.03.2010 um 09:56:16 Uhr
Goto Top
Wir haben extem schlechte Erfahrungen mit externer Hilfe gemacht. Da kommt eine Firma, guckt sich wichtig alles an, findet aber nichts, ändert nix, will aber 500,00 Eur bezahlt haben für ein bißchen Aufwärmen...

Vielleicht kommt ja einer von Euch aus der Gegend und kann (!) mir gegen Geld helfen.

Gruß ekv
KevinFree
KevinFree 08.03.2010 um 10:05:28 Uhr
Goto Top
Versuche grad mal mit Telnet.

Was muß ich da wie eingeben. Mit der Anleitung von der Seite oben von bekomme ich das nciht hin.

Gruß kev
Pjordorf
Pjordorf 08.03.2010 um 10:12:53 Uhr
Goto Top
Hallo kev,

Zitat von @KevinFree:
Wir haben extem schlechte Erfahrungen mit externer Hilfe gemacht. Da kommt eine Firma, guckt sich wichtig alles an, findet aber
nichts, ändert nix, will aber 500,00 Eur bezahlt haben für ein bißchen Aufwärmen...
Ja, das kann auch passieren. Ihr berechnet euren Kunden doch auch alles, oder macht ihr alles umsonst? Dein gehalt muss ja irgendwo her kommen.

Aber ist das nicht auch eine frage des Vertrags den Kunden / Dienstleister eingehen? Nur aufwärmen würde ich auch nicht bezahlen / bezahlt haben wollen.

Vielleicht kommt ja einer von Euch aus der Gegend und kann (!) mir gegen Geld helfen.
Naja, "Germany" ist schon etwas größer. Ich denke wenn ihr die Fahrtkosten, evtl. Übernachtung und Spesen übernehmt dann kommen ganz viele (und gerne) zu dir. Wo in "Germany" ist den "aus der gegend"?

Und noch ein hinweiss für Mail relay testing. http://www.mxtoolbox.com/SuperTool.aspx. Gefunden in ???????? naaaaaa ....... Ja richtig. Im Internet.

Peter
KevinFree
KevinFree 08.03.2010 um 10:28:26 Uhr
Goto Top
Zitat von @Pjordorf:
Hallo kev,

> Zitat von @KevinFree:
> Wir haben extem schlechte Erfahrungen mit externer Hilfe gemacht. Da kommt eine Firma, guckt sich wichtig alles an, findet
aber
> nichts, ändert nix, will aber 500,00 Eur bezahlt haben für ein bißchen Aufwärmen...
Ja, das kann auch passieren. Ihr berechnet euren Kunden doch auch alles, oder macht ihr alles umsonst? Dein gehalt muss ja
irgendwo her kommen.
Ne, ich werde nach Leistung bezahlt (zum Glück nicht für meine PCkenntnisse...). Ansonsten laufen zu viele Spinner herum, die sich für Spezialisten halten, aber gar keine Spezialfragen beantworten können. WEnn Du einen Klempner rufst, weil der Wasserhahn tropft, dann würde kein Mensch auf die Idee kommen, den Handwerker zu bezahlen, wenn nachher der Hahn immer noch tropft. Nur bei EDV ist das offenbar anders!


Und noch ein hinweiss für Mail relay testing. http://www.mxtoolbox.com/SuperTool.aspx. Gefunden in ???????? naaaaaa .......
Ja richtig. Im Internet.

Ja, das ist schon schlau. Leider weiß ich, weil ich keine Ahnung davon habe, gar nicht, wonach ich suchen muß....
wenn ich die Emailadresee eingebe bekomme ich:
mx requires a Fully Qualified Domain Name and stein@pinnau.de is not a valid FQDN.
Was sagt mir das?

Gruß kev
TheDarkLord
TheDarkLord 08.03.2010 um 10:35:56 Uhr
Goto Top
Hallo face-smileÖ

Du könntest auf die Schnelle auch mal hier nachschauen.
Die IP eures Mail-Servers eingeben und hoffen, dass Ihr auf keiner der gelisteten Blacklist steht.
Wenn ja, kannst Du Dir sicher sein, dass von eurem Server aus Spam verschickt wird!
Wenn nicht, heisst das natürlich nichts, könnt natürlich trotzdem als Spam-Server missbraucht werden...

Gruß Dark
Pjordorf
Pjordorf 08.03.2010 um 10:41:36 Uhr
Goto Top
Hi kev,

Ne, ich werde nach Leistung bezahlt (zum Glück nicht für meine PCkenntnisse...). Ansonsten laufen zu viele Spinner
herum, die sich für Spezialisten halten, aber gar keine Spezialfragen beantworten können.
Stimmt!

WEnn Du einen Klempner rufst,
weil der Wasserhahn tropft, dann würde kein Mensch auf die Idee kommen, den Handwerker zu bezahlen, wenn nachher der Hahn
immer noch tropft. Nur bei EDV ist das offenbar anders!
Kommt drauf an. Wenn ich den Handwerker fürs anschauen hole (aufwärmen), dann hat der auch anspruch auf vergütung. ist schließlich seine Arbeitszeit. Ob ich das aber tun würde face-smile

Ja, das ist schon schlau. Leider weiß ich, weil ich keine Ahnung davon habe, gar nicht, wonach ich suchen muß....
Mail Relay Test(ing)

wenn ich die Emailadresee eingebe bekomme ich:
mx requires a Fully Qualified Domain Name and stein@pinnau.de is not a valid FQDN.
Was sagt mir das?
Der FQDN (Full Qualified Domain Name)(Voll Qualifizierter Domänen Name) ist bei dir nur "pinnau.de"

Der MX lautet 80.237.138.5

Das ist aber bestimmt nicht eure IP vom WAN (Exchange). Die ist von eurem Hoster.

Peter
mrtux
mrtux 08.03.2010 um 17:49:03 Uhr
Goto Top
Hi !

Zitat von @Pjordorf:
> herum, die sich für Spezialisten halten, aber gar keine Spezialfragen beantworten können.
Stimmt!

Und wenn der Thread schon so abgleitet dann richtig....Mir fallen da die Computerzeitschriftenadminspezialisten ein, die sich ohne Erfahrung zutrauen einen Mailserver zu administrieren, nicht den Hauch eines Schimmers von der Tragweite so eines Handelns haben und dann in Foren noch pampig werden, wenn der erstbeste Tipp nicht sofort zum Erfolg führt... :-P

mrtux
jhinrichs
jhinrichs 08.03.2010 um 18:04:20 Uhr
Goto Top
Moin zusammen,
habe gerade diesen Thread entdeckt. Zunächst ist natürlich mrtux zuzustimmen, dass die Administration eines Mailservers (und Exchange ist nicht gerade das Einsteigermodell...), der Verbindung zum Internet hat, also nicht nur die Mails im internen Netz hin- und herschickt, auf soliden Füßen stehen muss. Aber wenn ich nicht gerade völlig auf dem Schlauch stehe, ist bei der o.g. Mail doch folgendes passiert:

1.
Received: from [186.122.130.187] (186.122.130.187) by pinnauMail.PINNAU.local (192.168.1.20) with Microsoft SMTP Server (TLS) id 8.1.393.1; Sat, 6 Mar 2010 07:36:41 +0100
From: Pharmacy for men only <To: <stein@pinnau.de>
Euer Server (pinnauMail.PINNAU.local) hat eine Mail an stein@pinnau.de von 186.122.130.187 erhalten.

2.
Return-Path: stein@pinnau.de
Er kann sie nicht zustellen, da es keinen stein@pinnau.de gibt. Er ist aber laut MX-Eintrag zu pinnau.de für die Domain pinnau.de zuständig, erhält also alle Mails an x@pinnau.de. Als Return-Path steht nun auch noch stein@pinnau.de drin (ein gerne genommener Trick von Spam-Versendern, um Spam-Filter zu überlisten). Jetzt versucht der Exchange, dem Absender (stein@pinnau.de) die Nachricht zu schicken, dass die Mail an stein@pinnau.de nicht zugestellt werden konnte. Das generiert die nächste.

Vielleicht also ganz harmlos, es nahm seinen Anfang mit dem Versuch eines Spammers (auch nicht selten), Spam an ErfundenerName@Bekannte.Domain zu schicken. Ich würde aber die Konfiguration des Exchange dringend von einem Fachleut überprüfen lassen.
Grüße
darkblackdevil
darkblackdevil 09.03.2010 um 03:43:53 Uhr
Goto Top
Moin!
Ich mach dir nen Vorschlag.
Ich vermute mal, dass deine Firma/Server in Pinnau nähe Pinneberg sitzt.
Da ich öfter in der Ecke Kunden habe, könnte ich mir das anschauen.
Also... Butter bei die Fische!
Exchange ohne Admin ist echt gewagt.
Schreib mir ne persönliche Mail und wir sprechen über die Einzelheiten.
masterPhin
masterPhin 12.03.2010 um 13:28:08 Uhr
Goto Top
was ich grade sehr witzig finde, ist, dass ich heute erst an einen Kunden in Quickborn CDs zusandte face-wink
Die Welt ist doch manchmal kleiner als man denk face-wink