SBS2k3 mit EX2k3 verschickt tausende Mails Virus?

[FETT]

Hi Leute,

hab hier einen SBS2003 Server mit Exchange drauf!
Jetzt hab ich das Problem das er sobald ich auf der Firewall das SMTP freigebe er anfängt zu mailen wie ein gestörter! Er verschickt innerhalb von Minuten tausende Mails mit tausenden Empfängern! Ich finde keinen Virus und die bekannten Tools setzen da auch aus! Hat das jemand schon mal gehabt? Was geht da? Was kann ich tun?
Sobald ich den SMTP Dienst stoppe kann ich aus der Queue die 14000(!) Mails löschen! Aber sobald ich diesen wieder starte geht los! Genauso wenn ich den SMTP Port an meiner Firewall dicht mache hört er auf! Aber wenn ich den frei mache mailt der wie ein verrückter!!! Was geht da?
Hoffe extrem auf Hilfe!

[phoenixcp]

Klingt ganz nach einem Bot oder sowas in der Art. Hast du schonmal Spy-Bot S&D drüber gejagt?

Wenn die Suche mit diversen Tools nichts mehr ergibt, dann würde ich ich alleine durch das dahinterliegende Risiko empfehlen, den Server neu aufzusetzen. Irgendwas hast du dir auf jeden Fall eingefangen, was es ist, wissen wir noch nicht. Auf jeden Fall steht aber fest: Selbst wenn du den Server wieder sauber bekommst, wirst du nie wieder einen so vertrauenswürdigen Stand schaffen wie vorher. Also am besten: CD raus und neu machen oder ein Backup / Image von vor der Attacke zurückspielen und den Server abdichten, damit so etwas nicht nochmal vorkommt.

[FETT]

der witz ist ja einer hat vorgestern eine email von einem lieferanten bekommen! kurz darauf die gleiche nochmals 12x danach nochmal 100x! Damit hat es angefangen! der absender ist bekannt und hat auch nur an seine Email Adressen durchgegeben das sich die Snschrift geändert hat! und genau diese email verschickt mein exchange server nun zigtausend mal! unglaublich....

[phoenixcp]

Ist dein Lieferant von einem ähnlichen Problem betroffen, so das er vielleicht auch der Zusteller des vermeintlichen Viruses sein kann?

Womit hast du denn deinen Server schon alles gescannt?

[FETT]

wir sind die einzigsten mit diesem problem!!??!!??

Spybot, Ad-Aware, Stinger, eTrust

ich glaub das alles nicht....

[phoenixcp]

Folgender Ansatz

Schalt deinen SMTP-Dienst ab, lösche alle Mails inklusive der Mails, die du gestern von deinem Lieferanten erhalten hast. IN ALLEN POSTFÄCHERN / Queues etc. Schalt den SMTP-Dienst wieder an und schau was dann passiert.

[GuentherH]

Hi.

Du verwendest nicht etwa den POP3 Connector, und hast diesen Patch noch nicht installiert ?

Wenn nein, dann Vorgehensweise wie von phoenixcp beschrieben, Patch installieren und dann sollte es wieder klappen.

LG Günther

[FETT]

ja ich benutzte den POP3 Connector...

habe den Patch mittlerweile installiert! Bringt aber nichts! ICh lösche die Queue und starte den SMTP Dienst wieder und los gehts!

Nun muss aber ehrlich gestehen wo kann ich die EMails aus den einzelnen Postfächer löschen?
Ich such mal...
Bin gespannt obs was bringt!

Edit:
ist es vielleicht das PickUp Verzeichnis?
Da waren auch 697 Emails drin...
Aber unter dem System Manager finde ich jetzt so nichts....

Edit2:
nun das war es auch nicht! Nachdem ich jetzt den SMTP Dienst wieder aktiviert habe, füllt sich im System Manager die Warteschlange wieder...

[benninger]

Evtl. ein DNS-Problem?
Bounced der Server mit einem Smarthost?

Ich hatte mal ein ähnliches Problem bei meinem E2K3-Server - da gingen alle internen Mails zu unserem Provider und von dem wieder zu uns zurück und wieder zu ihm und wieder zu uns und wieder...
Hatte allerdings nicht so viele Mails so lange in der Queue, da die max. Anzahl von Hops (default 25?) recht schnell erreicht war.

[FETT]

Nein er macht eine direkte DNS Weiterleitung!

Microsoft meint es hängt eine Mail "irgenwo" und ich soll ihn neuinstallieren einen "reinstall" durchziehen! Nun mal schauen...