Jump to content

Exchangeserver versandt Spam


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

scheinbar wurden über meinen Exchange Server Spam Mails versandt, aber nur 2 :-)

 

 

Zum Senden verwende ich einen Linux Postfix. Welcher per VPN mit dem Exchange verbunden ist.

 

Bemerkt hab ich es Heute da eine Spam Mail nicht zustellbar war, und ich einen Fehler erhalten habe.

 

Auf dem Postfix habe ich im Log das gefunden:

Feb  9 10:36:13 linuxpost postfix/smtpd[3158]: connect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:36:13 linuxpost postfix/smtpd[3158]: Anonymous TLS connection established from exchangeserver.domain.local[192.168.178.50]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Feb  9 10:36:13 linuxpost postfix/smtpd[3158]: C6BBC18CD114: client=exchangeserver.domain.local[192.168.178.50]
Feb  9 10:36:13 linuxpost postfix/cleanup[3161]: C6BBC18CD114: message-id=<b8b5efe6-b351-40ad-89e5-75215fd80714@exchangeserver.domain.local>
Feb  9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: from=<>, size=9519, nrcpt=1 (queue active)
Feb  9 10:36:14 linuxpost postfix/smtpd[3158]: disconnect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:36:14 linuxpost postfix/smtp[3162]: C6BBC18CD114: to=<hisbgnbciio@aibling.de>, relay=mail.aibling.de[193.158.216.90]:25, delay=0.75, delays=0.2/0.08/0.09/0.38, dsn=2.0.0, status=sent (250 Requested mail action okay, completed)
Feb  9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: removed

Feb  9 10:40:43 linuxpost postfix/smtpd[3219]: connect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:40:43 linuxpost postfix/smtpd[3219]: Anonymous TLS connection established from exchangeserver.domain.local[192.168.178.50]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Feb  9 10:40:43 linuxpost postfix/smtpd[3219]: E42B918CD114: client=exchangeserver.domain.local[192.168.178.50]
Feb  9 10:40:44 linuxpost postfix/cleanup[3222]: E42B918CD114: message-id=<d85a6026-6adb-4292-b529-6fcaa0ad0efa@exchangeserver.domain.local>
Feb  9 10:40:44 linuxpost postfix/qmgr[548]: E42B918CD114: from=<>, size=10664, nrcpt=1 (queue active)
Feb  9 10:40:44 linuxpost postfix/smtpd[3219]: disconnect from exchangeserver.domain.local[192.168.178.50]
Feb  9 10:40:45 linuxpost postfix/smtp[3223]: E42B918CD114: to=<cugeutronler@eutron.it>, relay=cust15480-2.in.mailcontrol.com[85.115.54.190]:25, delay=1.9, delays=0.15/0.01/1.4/0.4, dsn=2.0.0, status=sent (250 2.0.0 v199eieC018252 Message accepted for delivery)
Feb  9 10:40:45 linuxpost postfix/qmgr[548]: E42B918CD114: removed

und im Exchange SMTP Log:

2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,44,192.168.178.50:17813,192.168.178.50:2525,*,,Proxying inbound session with session id 08D44D9EF4E2AA12
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,45,192.168.178.50:17813,192.168.178.50:2525,>,RSET,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,46,192.168.178.50:17813,192.168.178.50:2525,<,250 2.0.0 Resetting,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,47,192.168.178.50:17813,192.168.178.50:2525,>,XPROXYFROM SID=08D44D9EF4E2AA12 IP=192.168.178.101 PORT=27465 DOMAIN=[58.186.190.100] SEQNUM=1 PERMS=1073 AUTHSRC=Anonymous,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,48,192.168.178.50:17813,192.168.178.50:2525,<,250 XProxyFrom accepted,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,49,192.168.178.50:17813,192.168.178.50:2525,*,,sending message with RecordId 1213 and InternetMessageId <003101d282f2$0783d378$de8fa48b$@aibling.de>
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,50,192.168.178.50:17813,192.168.178.50:2525,>,MAIL FROM:<hisbgnbciio@aibling.de> SIZE=0 AUTH=<>,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,51,192.168.178.50:17813,192.168.178.50:2525,>,RCPT TO:<hoffmantalbottykm@meinedomain.de>,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,52,192.168.178.50:17813,192.168.178.50:2525,<,250 2.1.0 Sender OK,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,53,192.168.178.50:17813,192.168.178.50:2525,<,250 2.1.5 Recipient OK,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,54,192.168.178.50:17813,192.168.178.50:2525,>,DATA,
2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,55,192.168.178.50:17813,192.168.178.50:2525,<,354 Start mail input; end with <CRLF>.<CRLF>,
2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,56,192.168.178.50:17813,192.168.178.50:2525,<,"250 2.6.0 <003101d282f2$0783d378$de8fa48b$@aibling.de> [InternalId=91555817848855, Hostname=Seexchangeserver.domain.local4900 bytes in 0.096, 49,828 KB/sec Queued mail for delivery",
2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,57,192.168.178.50:17813,192.168.178.50:2525,*,,Wrote to network 4673 bytes read from inbound proxy layer over 108 msecs for nexthopfqdn  messageid <003101d282f2$0783d378$de8fa48b$@aibling.de>
2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,58,192.168.178.50:17813,192.168.178.50:2525,*,,successfully added connection to cache.

2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,29,192.168.178.50:18789,192.168.178.50:2525,*,,Proxying inbound session with session id 08D44D9EF4E2AA22
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,30,192.168.178.50:18789,192.168.178.50:2525,>,RSET,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,31,192.168.178.50:18789,192.168.178.50:2525,<,250 2.0.0 Resetting,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,32,192.168.178.50:18789,192.168.178.50:2525,>,XPROXYFROM SID=08D44D9EF4E2AA22 IP=192.168.178.101 PORT=46563 DOMAIN=static.cmcti.vn SEQNUM=1 PERMS=1073 AUTHSRC=Anonymous,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,33,192.168.178.50:18789,192.168.178.50:2525,<,250 XProxyFrom accepted,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,34,192.168.178.50:18789,192.168.178.50:2525,*,,sending message with RecordId 1215 and InternetMessageId <002101d282f3$0181cb15$27372d8d$@eutron.it>
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,35,192.168.178.50:18789,192.168.178.50:2525,>,MAIL FROM:<cugeutronler@eutron.it> SIZE=0 AUTH=<>,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,36,192.168.178.50:18789,192.168.178.50:2525,>,RCPT TO:<thisisjusttestletter@meinedomain.de>,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,37,192.168.178.50:18789,192.168.178.50:2525,<,250 2.1.0 Sender OK,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,38,192.168.178.50:18789,192.168.178.50:2525,<,250 2.1.5 Recipient OK,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,39,192.168.178.50:18789,192.168.178.50:2525,>,DATA,
2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,40,192.168.178.50:18789,192.168.178.50:2525,<,354 Start mail input; end with <CRLF>.<CRLF>,
2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,41,192.168.178.50:18789,192.168.178.50:2525,<,"250 2.6.0 <002101d282f3$0181cb15$27372d8d$@eutron.it> [InternalId=91555817848860, Hostname=exchangeserver.domain.local] 5232 bytes in 0.102, 49,747 KB/sec Queued mail for delivery",
2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,42,192.168.178.50:18789,192.168.178.50:2525,*,,Wrote to network 5005 bytes read from inbound proxy layer over 109 msecs for nexthopfqdn  messageid <002101d282f3$0181cb15$27372d8d$@eutron.it>
2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,43,192.168.178.50:18789,192.168.178.50:2525,*,,successfully added connection to cache.

Woher ist nun die Mail verschickt worden? Wie kann ich weiteres herausfinden?

bearbeitet von Back2Live
Link zu diesem Kommentar

Ich bezog mich in obigem Fall auf Backscatter-Erzeuger, weil man bspw. eine Mail am Postfix angenommen hat für einen Empfänger, den der Exchange nicht zustellen konnte.

Falls du fragst, wie man eingehenden Backscatter von anderen Absendern die dir NDR zusenden verhindern kannst, da gibt's nicht soviele "sinnvolle" Möglichkeiten. Ich würd zumindest schonmal dafür sorgen, dass du einen SPF hast, damit kann dann schonmal relativ gut verhindert werden, dass jeder mit deiner Adresse als Absender auftritt. Zumindest bei denen, die darauf filtern.

 

Bye

Norbert

Link zu diesem Kommentar

Wer nimmt die Mails aus dem Internet an? Der Exchange? Falls ja, dann solltest du entweder einen eigenen Connector mit dem Recipient Filter konfigurieren, oder einen Filter der das korrekt macht wie bspw. ORF Fusion von vamsoft.com.

 

Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen?

 

Bye

Norbert

Link zu diesem Kommentar

Wer nimmt die Mails aus dem Internet an? Der Exchange? Falls ja, dann solltest du entweder einen eigenen Connector mit dem Recipient Filter konfigurieren, oder einen Filter der das korrekt macht wie bspw. ORF Fusion von vamsoft.com.

 

Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen?

 

Bye

Norbert

Die Empfehlung gebe ich gerne weiter (bin auch dank Norbert draufgekommen).

ORF Fusion  - nach hin und her endlich auch für den Spamschutz bei uns angeschafft, da mich das gefrickel in Eset nervt.

Sehr umfangreich allerdings verständlich einzurichten und das Loging möchte ich nicht mehr missen.

 

Lediglich der Attachmentfilter (leider noch zuviele Einschränkungen um diesen sinnvoll zu nutzen) ist derzeit noch unbrauchbar, aber die Arbeiten an einem überarbeiteten Nachfolger des Moduls welches im QT 3 kommen soll.

Der Support ist super, meine Verbesserungswünsche aufgenommen und zu Prüfung weitergereicht, ebenso sind die Kosten und das Lizenzsetup super fair.

 

bearbeitet von PowerShellAdmin
Link zu diesem Kommentar

Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen?

 

 

Ja so ist es, ich wollte das schonmal ändern...

Bzw. der Exchange sendet an den Postfix als Smarthost der Postfix liefert dann aus.

 

Gibt es da eine Möglichkeit das mit dem Filter zu lösen?

bearbeitet von Back2Live
Link zu diesem Kommentar

Ja Norbert hat Recht. Es ist eine Backscatter Attacke, zum Selben Zeitpunkt des Versands kommt die NDR beim SMTPReceivelog rein.

 

Vereinzelt so 2-3 Mails sind es pro tag.

Versuche jetzt erstmal den Versand zu stoppen, der Postfix darf jetzt nur Mails mit gültigem Absender versenden.

 

Aber wie setze ich deinen Vorschlag um das nur Mails akzeptiert werden welche auch ein passenden Mail-Account in der eigenen Domäne haben?

Wenn ich am Empfangs-Connector den Anonymen zugriff verbiete werden gar keine Mails mehr empfangen.

Habe es so versucht:

https://www.frankysweb.de/exchange-server-mailspoofing-verhindern/

Wie dort aber auch andere schreiben geht danach der Mailempfang gar nicht mehr.

Link zu diesem Kommentar

Du sollst nicht Mailspoofing verhindern, sondern dass dein Exchange Mails annimmt für Adressen, die er nicht hält/kennt.

Methode 1:

Sinnvoll, preiswert und nachvollziehbar (und noch viel mehr Funktionen als Exchange sie mitbringt): www.vamsoft.com

 

Methode 2:

kostenlos, aber irgendwie "doof", und schlecht zu tracken.

http://www.msxfaq.de/e2013/e2013recipientfilter.htm

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...