Zum Inhalt wechseln


Foto

Mailserver wird angegriffen


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 Dutch_OnE

Dutch_OnE

    Board Veteran

  • 1.240 Beiträge

 

Geschrieben 20. September 2017 - 12:28

Moin,

 

mein Mailserver mit Exchange 2010, bekommt eine Spamflut mit Anhängen. unbekannt@meinedomain.com schickt tausende Mails an info@meinedomain.com. Habe in der Firewall das Portforwarding rausgenommen (Port 25, 443, 465) damit mein Server nicht mehr erreichbar ist.

 

Was kann ich allgemein dagegen tun? IP Adresse ändern wäre nicht so schön.

 

gruß

DO



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.800 Beiträge

 

Geschrieben 20. September 2017 - 12:31

Dazu gehören auch immer Quell-IP´s, die findest du in den Logs.

 

Diese IP´s (wahrscheinlich nur eine...) auf deny am Router/Firewall, schon ist Ruhe.

 

Wozu dient der Forward von Port 465?

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#3 Dutch_OnE

Dutch_OnE

    Board Veteran

  • 1.240 Beiträge

 

Geschrieben 20. September 2017 - 12:33

Gute Frage, bin gerade für jemanden eingesprungen und weiß keine Antwort. So wie ich das aber gesehen habe sind im Exchange Log die Client IP vom Absender unterschiedlich.

 

 

Unterschiedliche Absendernamen und unterschiedliche IP Absenderadressen


Bearbeitet von Dutch_OnE, 20. September 2017 - 12:37.


#4 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.800 Beiträge

 

Geschrieben 20. September 2017 - 12:40

Gute Frage, bin gerade für jemanden eingesprungen und weiß keine Antwort. So wie ich das aber gesehen habe sind im Exchange Log die Client IP vom Absender unterschiedlich.

 

 

Unterschiedliche Absendernamen und unterschiedliche IP Absenderadressen

Dann guck doch mal mit Utrace, wozu die gehören, sonst mehrere auf deny - oder eine ganze Range.

 

Musste ich bei mir im Forum so machen.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#5 Dutch_OnE

Dutch_OnE

    Board Veteran

  • 1.240 Beiträge

 

Geschrieben 20. September 2017 - 12:46

Hier mal ein Header einer solchen Mail:

 

 

Received: from static.vnpt.vn (14.236.77.29) by rdp.customer.com
 (192.168.1.10) with Microsoft SMTP Server id 14.3.361.1; Wed, 20 Sep 2017
 14:39:32 +0200
MIME-Version: 1.0
Date: Wed, 20 Sep 2017 19:39:39 +0700
X-Priority: 3 (Normal)
From: Wendy Stockdale <Wendy.Stockdale@customer.com>
Subject: Your Payment # 0936
Content-Type: multipart/mixed;
 boundary="------------285493622354197500573101"
Message-ID: <117A31FADCCC176D345233CD558BED6101CFAA0D@BACKROOM>
To: Undisclosed recipients:;
Return-Path: Wendy.Stockdale@customer.com
X-MS-Exchange-Organization-AuthSource: SBS-SERVER.customer.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-SPAMfighter-Result: E-mail blocked (Spam score=100)
X-SPAMfighter-Direction: Inbound
X-SPAMfighter-SPF: None
X-SPAMfighter-Community-Score: 100



#6 testperson

testperson

    Board Veteran

  • 4.659 Beiträge

 

Geschrieben 20. September 2017 - 12:46

Hi,

 

wie wäre es mit etwas vor dem Exchange, was Anti-Spoofing kann? Oder SPF Records für die eigene Domain und einer SPF Prüfung?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#7 Dutch_OnE

Dutch_OnE

    Board Veteran

  • 1.240 Beiträge

 

Geschrieben 20. September 2017 - 13:04

Ich habe einen Spamfighter davor, der blockt auch alles weg, nur sehe ich die guten Mails nicht mehr ankommen.


Habe den Spamfighter so eingestellt, dass er die Mails sofort löscht. Im Exchange Log sehe ich die Spam aber trotzdem noch. Im Postfach natürlich nicht mehr. Schätze das mit dem Exchange Log werde ich so nicht vermeiden können. Muss ich dann wohl durchlaufen lassen.



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.935 Beiträge

 

Geschrieben 20. September 2017 - 14:32

Mails löschen ist schlecht. Du musst ablehnen!
Und wenn trotzdem was durchkommt ist halt deine Spamfilterkonfig entweder nicht gut oder es gibt immer mal wieder Wellen die eben schwierig oder nur händisch abzufangen sind.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#9 Dutch_OnE

Dutch_OnE

    Board Veteran

  • 1.240 Beiträge

 

Geschrieben 20. September 2017 - 16:14

1und1 hat das alles revidiert.


Speicherplatz auf C war vollgelaufen ... der Klassiker ;)  LOG Dateien gelöscht und jetzt kommen auch die Mails wieder. Warum in der Zwischenzeit nur die Spam Mails zu sehen waren, verstehe ich allerdings nicht.


Bearbeitet von Dutch_OnE, 20. September 2017 - 15:55.


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.935 Beiträge

 

Geschrieben 20. September 2017 - 17:27

Logs gelöscht? Die der dB oder wie?

Make something i***-proof and they will build a better i***.


#11 Dutch_OnE

Dutch_OnE

    Board Veteran

  • 1.240 Beiträge

 

Geschrieben 20. September 2017 - 17:43

Die im Inetpub. Gerade nochmal geprüft. Auf Schlag waren auch die Spams weg, obwohl ich da keinen Zusammenhang sehe.


Bearbeitet von Dutch_OnE, 20. September 2017 - 17:50.


#12 NorbertFe

NorbertFe

    Expert Member

  • 30.935 Beiträge

 

Geschrieben 20. September 2017 - 18:03

OK :) Du kannst, wenn du die IIS Logs nicht brauchst (im Normalfall braucht man die sowieso nicht), auch im IIS einfach das Logging komplett deaktivieren.

Make something i***-proof and they will build a better i***.