iDiddi

@NorbertFe: Danke und schönen Feierabend, falls Du so was kennst ;)

Eine kleine Ergänzung zu GFI MailEssentials hab ich dann doch noch:

Directory Harvesting kann so konfiguriert werden, dass es auf SMTP-Ebene filtert und so Spams direkt ablehnt.

Greylisting arbeitet ja sowieso ausschließlich auf SMTP-Ebene.

http://kbase.gfi.com/showarticle.asp?id=KBID002019

Alle anderen Filter bestätigen leider erst einmal den Empfang. Deshalb werde ich mir auf jeden Fall auch andere Produkte (ORF, Anti-Spam-Proxy) ansehen.

Jain.

1. es gibt zwei Filterpunkte (before oder on arrival). Manche Tests können logischerweise nur on arrival getestet werden. Trotzdem gilt die Mail auch zu diesem Zeitpunkt als noch nicht zugestellt.

Gilt das auch für DNS-Blacklists? Das ist bei unseren Kunden immer noch der Filter mit den meisten Treffern.

Eben. Exchange kann NUR Tar-Pit, nichts anderes. Der Spammer kann es "endlos" weiterprobieren, er muss nur nach jedem Versucht 5 Sekunden warten.

OK, da muss ich Dir zustimmen. Allerdings geht es bei Spammern um Zeit, die sie sicherlich nicht mit weiter probieren vergeuden werden. Außerdem muss man ja nicht 5 Sekunden einstellen. Das ist ja nur ein Vorschlag von MS.

SMTP-Tar Pit-Feature für Microsoft Windows Server 2003

@TO: Entschuldige, dass ich Deinen Beitrag ein bisschen zweckentfremde :o

Hat die Anwenderin evtl. noch ein anderes Konto (z.B. Pop3) in Ihrem Outlook eingerichtet, über das versehentlich gesendet wird?

Ach ja: Hast Du schon eine Reparaturinstallation durchgeführt?

Ich habe noch etwas weiteres herausgefunden. Nach diesem Them (Quick Parts not saved after restarting computer | MSOutlook.info ) sollte ja Outlook eine neue normalemail.dotm erstellen, sobald ich die bestehende umbenenne.

Das war bei mir ja auch nicht der Fall. Du hast ja in Word eine manuelle Datei erstellt. Legt er denn eine temporäre Kopie davon an, wenn Outlook gestartet wird?

Liste mal alle Programme auf, die dort installiert sind. Kontrolliere auch mal den von mir beschriebenen Registrierungsschlüssel. Der wird allerdings abweichen (höhere Versionsziffer), da es bei mir ja um Office 2007 ging ;)

Dieses Thema habe ich bereits durchforstet.

Und da bist Du Dir wirklich sicher? Manche Software installiert für den Anwender unbemerkt, oder zumindest schwer erkennbar, irgendwelche Outlook-AddIns mit.

Server 2011(2008R2): AD-Controller und DHCP-Server

Bedeutet das, Du hast einen SBS2011 oder der 2008R2-Standard heißt nur "Server 2011"?

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-957694799-1293780095-2504708856-1157) für Benutzer *******\spfarm von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID

{61738644-F196-11D0-9953-00C04FD919C1}

und APPID

{61738644-F196-11D0-9953-00C04FD919C1}

gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Dieser Fehler kann nichts damit zu tun haben und ist harmlos.

Siehe folgenden Beitrag...

https://www.mcseboard.de/windows-server-forum-78/migration-2k3-2011-fehlgeschlagen-178273.html#post1102282

...oder direkt den MS-KB-Artikel dazu:

Windows SBS 2011 Standard Known Post Installation Event Log Errors and Warnings

Der Dienst "Standortübergreifender Messagingdienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Startet der Dienst denn danach wie angekündigt neu oder bleibt dieser beendet?

Hast Du zufällig eine CTI-Software alá Octopus oder andere Outlook-Ad-Ins installiert?

Schau mal hier:

http://www.mcseboard.de/windows-forum-allgemein-83/outlook07-speichert-keine-autokorrektur-autotexte-177832.html

Ich weiß nicht, wie du auf die Idee kommst. Das Teil arbeitet nur darauf.

NoSpamProxy dagegen ist kein echter SMTP-Filter. Er ist ein Proxy, der die Anfragen nach innen weiterleitet und die Antworten nach außen

Aber da die Prüfungen vom Proxy durchgeführt werden, sehe ich da keinen großen Unterschied. Aber vielleicht hab ich heute ja auch einfach ein Brett vor dem Kopf.

Jedenfalls vielen Dank für Eure Infos :)

Übrigens: Das BSI hat einen echt informativen Leitfaden raus gebracht, der alles genau erklärt und Eure Aussagen zum größten Teil bestätigt:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Antispam/antispam_pdf.pdf?__blob=publicationFile

OK, ihr Beiden habt mich überzeugt. Bin ja lernfähig ;)

Habe mir NoSpamProxy mal genauer angesehen. Das mit dem dedizierten Server hatte mich bisher immer abgeschreckt. Das bekomme ich bei unseren Kunden nun mal nicht durch. Was ich nicht wusste ist, dass man den Proxy auch auf dem Mailserver betreiben kann. Man muss halt nur Port 25 umlegen. So wird es natürlich zumindest eine Option :)

Was setzt Ihr denn jetzt genau ein? Beim Norbert ist es glaub ich ORF. Allerdings arbeitet dieses Produkt ja auch nicht auf SMTP-Ebene, wo wir ja bei dem gleichen Dilemma wären wie bei ME. Oder habt Ihr generell einen Smtp-Proxy davor geschaltet?

Wer hat Erfahrungen mit NO-Spam-Proxy oder der OpenSource-Alternative "Anti-Spam SMTP Proxy", kurz: ASSP?

Ich weiß zwar nicht, wie der Harvesting-Filter von ME funktioniert, aber alle anderen, die ich kenne, behindern eher Spammer, an Adressen zu kommen. Und am Ende besser als Exchange es tut.

Wie denn das? Tar-Pit ist eine Funktion des SMTP-Dienstes und nicht vom Spamfilter.

Wenn man existierende Adressen annimmt und nicht existierende abweist, dann kommt der Spammer per Bruteforce schnell an die Adressen ran. Tar-Pit ist dabei das einzige Mittel, das ich kenne, was dies verhindert. Deshalb gab es lange Zeit die Empfehlung, grundsätzlich alle Nachrichten anzunehmen.

Im Gegenteil: Das Annehmen von Mails und anschließendes Löschen ist nach gängiger deutsche Rechtsprechung verboten und könnte von einem strengen Richter als Eingriff in das Postgeheimnis bewertet werden.

Gut, wenn das der Gesetzgeber verbietet, ist das natürlich schwierig. Wobei ich da gerne eine Quellenangabe hätte.

Mails annehmen und dann löschen ist BS. Dann doch lieber Quarantäne.

Dann brauchst Du aber einen vorgelagerten Spam-Filter (Spam-Proxy), der die Mails schon auf SMTP-Ebene abweist. Und das ist manchen zu aufwändig/ zu teuer.

Ich weiß: Da raufst Du Dir wieder Deine Haare :D . Aber das ist nunmal die Realität im KMU-Bereich.

Den ME-Directory Harvesting-Filter würde ich allerdings auch nicht nutzen. Das sollte man wirklich vorher über den Exchange-Empfängerfilter ablehnen. Aber dann in Verbindung mit Tar-Pit. Sonst macht man es den Spammern zu leicht, an E-Mail-Adressen zu kommen.

Ich konfiguriere ME übrigens so, dass die aussortierten Nachrichten der Filter mit geringen "false positives" sofort gelöscht werden (z.B. DNS-Blacklist, Directory Harvesting). Filter mit einer erfahrungsgemäß höheren Fehlerquote leiten die Nachrichten in den Junk-Mail-Ordner der Benutzer (SPF Softfail, Keywords, Header Checking). So ist der Benutzer selbst in der Pflicht, diesen zu prüfen und muss nicht, wie bei der Quarantäne-Funktion, von der IT erst freigeschaltet werden.

Falls dann doch mal eine Mail vermisst wird, die nicht im Junk-Ordner zu finden ist, schau ich mir einfach die Logs durch.

iDiddi der Link ist super...sowas hab ich gesucht

Schön, dass Dir der Link geholfen hat. Und danke für Deine Rückmeldung :)

Ich muss gestehen, dass mein Kenntnisstand hierzu nicht ausreicht, um Dir professionell helfen zu können. Aber vielleicht hilft Dir diese Anleitung ja weiter:

create ssis package find an example how to create an ssis package a simple one

So, und jetzt noch mal in deutscher Sprache ohne Anglizismen und ein wenig genauer, bitte.

OK, danke für Deine Rückmeldung :)

Ist aber ganz schön umständlich, immer die Formeln anpassen zu müssen.

Darf man fragen, warum Du unbedingt Tabellen löschen musst? Wozu wird diese Arbeitsmappe überhaupt verwendet?

Korrekt, seit SP2 (oder SP1) ist der Badmailfolder quasi immer leer, da nicht mehr benutzt.

Als Ergänzung: Kann aber über die Registrierung wieder aktiviert werden. Würde das aber über eine Quota (auch in der Registrierung) beschränken, damit nicht irgendwann die Platte voll läuft (das war übrigens auch einer der Gründe, warum MS diese Funktion deaktiviert hat). Allerdings ist bei mir persönlich noch keine wichtige Nachricht im Badmail-Ordner gelandet.

Suche ich dann nach dieser Mail im SystemManager (Nachrichtenstatus), wird mir gesagt, dass der erweitere Warteschlangenmechanismus diese nicht zustellen konnte.

Diese Meldung ist bei GFI ME normal, wenn es sich für ihn um Spam-Mails handelt. Diese wird abgegriffen und von GFI und nicht vom Exchange in den Junk-Mail-Ordner verschoben. Daher die Meldung im ESM ;)

Das gilt aber nur für Verschiebe-Aktionen. Wenn GFI nur ein Spam-Flag setzt oder den Betreff ändert, übergibt er die Nachricht wieder an Exchange.

Zu Deinem speziellen Problem:

ME benutzt für seine Zwecke Microsoft Message Queuing (MSMQ), um die Nachrichten zu cachen. Vielleicht sind diese NDRs ja dort zu finden.

Der NDR-Filter wurde von GFI nachträglich eingebunden. Zumindest in älteren Versionen ging das über den Filter "New Senders", selbst, wenn dieser nicht aktiviert war. Allerdings konnte man im Logbuch des Filters sehen, dass diese Nachrichten aussortiert wurden. Ob das jetzt auch noch so ist, weiß ich leider nicht.

Welche Version hast Du im Einsatz?

Aktiviere mal alle Logs in den einzelnen Filter, falls noch nicht geschehen. Dann kannst Du besser nachvollziehen, was mit den Nachrichten geschehen ist. Übrigens gibt es auch von GFI einen "Badmail-Ordner", den Du allerdings aktivieren musst (unter Global actions oder so ähnlich).

Was da genau hinter steckt, kann ich Dir auch nicht beantworten. Aber dass man nicht einfach AD-Einträge löscht, dürfte klar sein. Und die IP-Adresse ändert man beim SBS über den entsprechenden Assistenten.

Bevor Du den Server neu aufsetzt, kannst du diesen ja mal ausführen, falls keine Sicherung vorhanden ist.

Man sollte auch alle Änderungen dokumentieren. Dann hättet Ihr ja auch alles wieder zurückstellen können.

Trotzdem kann ich diese Probleme nicht nachvollziehen.

Das wird schwierig. Würde das über VBA machen. Da die Tabellenblätter den gleichen Aufbau haben, hat man ja die gleichen Bezüge innerhalb der Tabellen.

Jetzt brauchst Du nur über eine Schleife alle vorhandenen Tabellen erfassen. Über eine Schaltfläche könnte man dann z. B. die Ergebnisse aktualisieren.

Hallo iDiddi,

 

alles super - ich habe es jetzt über den Registryeintrag am Client geändert - funktioniert wunderbar und einfach!

 

Gruß

Carsten Lehmann

 

PS: danke für deine Hilfestellungen hier im Forum!!

Gern geschehen :)

Vielen Dank für Deine Rückmeldung. So macht das Helfen auch viel mehr Spaß ;)

Steht denn dann der Netzwerkadapter auf "nicht verbunden" oder wie äußert sich das Problem genau? Reicht vielleicht ein De- und anschließendes Aktivieren des Adapters aus?

Oder man macht ein Rostore auf "irgendeiner" Hardware. Dann benötigt man ein Programm welches ein Image auf fremder HW wieder herstellen kann (zb. Acronis + Universal-Restore). Dann zieht man von dem System ein Image und spielt es unter Verwendung der Universal-Restore-Funktion dorthin wieder zurück.

Aber selbst dabei muss man evtl. die Storage-Treiber der aktuellen Hardware mit einbinden.

Wie hast Du das System denn gesichert? Mit NTBackup auf Band? Dann brauchst Du auch eine identische Hardware.

Ist denn auf dem Backupsystem vor der Wiederherstellung das korrekte OS mit gleichem Patch-Stand installiert worden? Wie hast Du denn die Wiederherstellung durchgeführt?

Wo ist denn das Problem, den Mitarbeitern zu sagen, dass sie diese Mails zur Whiteliste hinzufügen sollen?

@Norbert: Da warst Du wohl schneller :)

Ich hatte das mal mit Mails von den Multifunktionsgeräten (pdfs), die nach einem Update plötzlich alle im Spam landeten.