jlsdfoiewh 0 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 Hallo Leute, ich bitte um Hilfe, bei uns wird Spam (eine fast leere E-Mail mit Anhang) versendet. ich habe schon viele Forume durch und noch keine Lösung gefunden. Das ist ein typischer E-Mail-Header: Received: from [41.164.51.34] (41.164.51.34) by mail.ourcompany.info (192.168.2.2) with Microsoft SMTP Server id 14.1.438.0; Wed, 16 Mar 2016 16:23:33 +0100 From: <bestimmterbenutzer@ourcompany.info> To: <bestimmterbenutzer@ourcompany.info> Subject: Document2 Thread-Topic: Document2 Thread-Index: AdF+sJZYKtxaTvOhSFC+rMKD/CUwyg== Date: Wed, 16 Mar 2016 17:23:25 +0200 Message-ID: <2A1404616734B5EB6E03FF891A2D2@BORO-SBS.boro.local> Accept-Language: en-GB, en-US Content-Language: en-US X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-originating-ip: [192.168.0.28] Content-Type: multipart/mixed; boundary="_004_300621BC94B77642BC430B054CFFEC9C4A08FF5DBOROSBSboroloca_" MIME-Version: 1.0 Return-Path: bestimmterbenutzer@ourcompany.info X-MS-Exchange-Organization-AuthSource: OURSERVER.ourcompany.local X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Exchange-Organization-PRD: ourcompany.info X-MS-Exchange-Organization-SenderIdResult: None Received-SPF: None (OURSERVER.ourcompany.local: bestimmterbenutzer@ourcompany.info does not designate permitted sender hosts) X-MS-Exchange-Organization-SCL: 0 X-MS-Exchange-Organization-PCL: 2 X-MS-Exchange-Organization-Antispam-Report: DV:3.3.15604.885;SID:SenderIDStatus None;OrigIP:41.164.51.34 Machmal ist der Absender auch <Administrator <admin@...>. Was mir in den Headern auffält: AuthAs: Anonymous (nicht Internal wie üblich) Wir sind kein open relay und E-Mails, die nicht intern verschickt werden, gehen über einen Smarthost. Wir haben auch schon ein verdächtiges Endgerät (Notebook) ausgetauscht, ohne Erfolg. Die E-Mails werden immer an einen Nutzer geschickt, mehrmals am Tag. Den Logs zu urteilen gibt es sonst nicht mehr ungewöhnliche Mails. Ich habe jetzt schon zwei verschiedene fremde IPs (einmal die 41.164... s.o.) ausgemacht. Bitte um Hilfe :-) Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 Hallo, Der Header ist nur "begrenzt" hilfreich. Schau ins SMTP Receive Logfile (ggf. mußt du das auf dem entsprechenden Empfangsconnector -oder auf allen- aktivieren). Dann schau nach, wenn das nächste Mal sowas aufkommt, wo die Mail herkommt und warum klären wir dann. Hast du auf deinem SBS denn Antispamfilterung aktiv, wenn ja welche Konfiguration/Produkt? Kommen die Mails direkt per SMTP oder per POPConnector? Bye Norbert Zitieren Link zu diesem Kommentar
jlsdfoiewh 0 Geschrieben 18. März 2016 Autor Melden Teilen Geschrieben 18. März 2016 Hallo, erstmal vielen Dank schon mal für deine Antwort. Am Ende ist der Log für eine E-Mail angehängt. Für mich ergibt sich jetzt daraus, dass dies doch von extern kommt. Das heißt, die Absenderadresse war gefälscht? Bekommen nur wir gefälschte Mails unserer Mail-Adresse? Aktive Antispam-Einstellungen sind IP-Sperrliste und IP-Zulassungsliste (unter Serverkonfiguration in der EMC) und Absenderfilterung, Absenderzuverlässigkeit, Anbieter für zugelassene IP-Adressen, Empfängerfilterung, Inhaltsfilterung, IP-Sperrliste, IP-Sperrlistenanbieter, IP-Zulassungsliste, Sender ID (unter Organistaionskonfiguration in der EMC). POP-Connector ruft er zyklisch ab (wegen Redundanz), ansonsten landen die Mails direkt auf dem SBS. Viele Grüße #Software: Microsoft Exchange Server #Version: 14.0.0.0 #Log-type: SMTP Receive Protocol Log #Date: 2016-03-18T16:29:32.827Z #Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context 2016-03-18T19:26:21.322Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,0,192.168.2.2:25,187.150.55.172:57972,+,, 2016-03-18T19:26:21.323Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,1,192.168.2.2:25,187.150.55.172:57972,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions 2016-03-18T19:26:21.323Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,2,192.168.2.2:25,187.150.55.172:57972,>,"220 mail.ourcompany.info Microsoft ESMTP MAIL Service ready at Fri, 18 Mar 2016 20:26:20 +0100", 2016-03-18T19:26:21.627Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,3,192.168.2.2:25,187.150.55.172:57972,<,EHLO dsl-187-150-55-172-dyn.prod-infinitum.com.mx, 2016-03-18T19:26:21.627Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,4,192.168.2.2:25,187.150.55.172:57972,>,250-mail.ourcompany.info Hello [187.150.55.172], 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,5,192.168.2.2:25,187.150.55.172:57972,>,250-SIZE 10485760, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,6,192.168.2.2:25,187.150.55.172:57972,>,250-PIPELINING, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,7,192.168.2.2:25,187.150.55.172:57972,>,250-DSN, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,8,192.168.2.2:25,187.150.55.172:57972,>,250-ENHANCEDSTATUSCODES, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,9,192.168.2.2:25,187.150.55.172:57972,>,250-AUTH LOGIN, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,10,192.168.2.2:25,187.150.55.172:57972,>,250-8BITMIME, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,11,192.168.2.2:25,187.150.55.172:57972,>,250-BINARYMIME, 2016-03-18T19:26:21.628Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,12,192.168.2.2:25,187.150.55.172:57972,>,250 CHUNKING, 2016-03-18T19:26:21.852Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,13,192.168.2.2:25,187.150.55.172:57972,<,MAIL FROM:<bestimmterbenutzer@ourcompany.info>, 2016-03-18T19:26:21.853Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,14,192.168.2.2:25,187.150.55.172:57972,*,08D34E6980389F08;2016-03-18T19:26:21.322Z;1,receiving message 2016-03-18T19:26:21.853Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,15,192.168.2.2:25,187.150.55.172:57972,<,RCPT TO:<bestimmterbenutzer@ourcompany.info>, 2016-03-18T19:26:21.857Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,16,192.168.2.2:25,187.150.55.172:57972,<,DATA, 2016-03-18T19:26:21.857Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,17,192.168.2.2:25,187.150.55.172:57972,>,250 2.1.0 Sender OK, 2016-03-18T19:26:21.857Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,18,192.168.2.2:25,187.150.55.172:57972,>,250 2.1.5 Recipient OK, 2016-03-18T19:26:21.857Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,19,192.168.2.2:25,187.150.55.172:57972,>,354 Start mail input; end with <CRLF>.<CRLF>, 2016-03-18T19:26:22.968Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,20,192.168.2.2:25,187.150.55.172:57972,*,Tarpit for '0.00:00:01.050' due to 'DelayedAck',Delivered 2016-03-18T19:26:22.968Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,21,192.168.2.2:25,187.150.55.172:57972,>,250 2.6.0 <FD2E5A40815990F0FF87278BF9@BORO-SBS.boro.local> [InternalId=92] Queued mail for delivery, 2016-03-18T19:26:23.199Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,22,192.168.2.2:25,187.150.55.172:57972,<,QUIT, 2016-03-18T19:26:23.199Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,23,192.168.2.2:25,187.150.55.172:57972,>,221 2.0.0 Service closing transmission channel, 2016-03-18T19:26:23.199Z,OURSERVER\Windows SBS Internet Receive OURSERVER,08D34E6980389F08,24,192.168.2.2:25,187.150.55.172:57972,-,,Local Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 1. Nein ihr seid nicht die einzigen die Spam mit ihrer eigenen Adresse bekommen. :D 2. Bei sowas kann ein SPF Record oder ein Spamfilter auf die eigene Sendedomain helfen (ersteres würde ich bevorzugen, aber das ist diskussionwürdig) 3. POP-Connector ruft er zyklisch ab (wegen Redundanz), ansonsten landen die Mails direkt auf dem SBS. --- Das würde ich beheben. Wenn Spam kommt, dann mit hoher Wahrscheinlichkeit über den Provider, weil der nicht soweit filtern kann. Keine Sa.. braucht an der Stelle Redundanz, bzw. wenn dann richtig und nicht so! Das Ding wäre bei mir schon aufgrund des EHLO Strings nicht durch den Spamfilter gekommen. Bye Norbert Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 19. März 2016 Melden Teilen Geschrieben 19. März 2016 Wer nimmt denn E-Mails von dynamischen IPs an? Der FQDN aus dem ehlo-String lässt sich doch auch gar nicht auflösen. Sowas lehnt man grundsätzlich ab. Ist ourcompany.info eure Domain? Irgendwie glaube ich das nicht... From, To, etc sind ahlt beliebig setzbar. Irgendwie finde ich immer "Fälschung" passt da nicht richtig. Zitieren Link zu diesem Kommentar
jlsdfoiewh 0 Geschrieben 19. März 2016 Autor Melden Teilen Geschrieben 19. März 2016 Vielen Dank für die Rückmeldungen. Ich werde die Regeln noch anpassen, dann sollte es laufen. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 19. März 2016 Melden Teilen Geschrieben 19. März 2016 Das kann auf Dauer aufgrund deines popconnectors nicht sinnvoll funktionieren. Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 19. März 2016 Melden Teilen Geschrieben 19. März 2016 Du musst das schon auf dem Server machen der die E-Mails empfängt, also deinem MX. Alles später bringt nur Probleme. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.