Spam in SBS2003/Exchange

Hallo!

Ich kämpfe schon seit gsetern 15.00 Uhr mit einem SBS2003: seit einiger Zeit wird darüber gespamt. Die Warteschlange liegt bei ca. 45000 Mails.

Löschen kann ich zwar (es dauert sehr lange), aber es kommen immer wieder welche Mails dazu.

Wie kann ich feststellen, wer das macht? Der Server ist jetzt komplett abgeklemmt und sendet trotzdem weiter. Ich habe hier einen aktuellen Virenscanner (PANDA - auch f. Exchange) und auch einen SpyBot laufenlassen - beide schlagen nicht an!

Die eMails stehen alle mit der gleichen AbsendereMail im System, die aber nicht zur Domain gehört. Ich weiß jetzt nicht, ob der Kunde gehackt wurde, aber er wollte einfach offen sein... (Port 80, 25, 110, VPN und Remote).

Weiß jemand, wie man die Quelle jetzt feststellen kann?

E. Richert

also ich tipp mal auf 2 Sachen.

1. Entweder ist das Relay offen und einer hats gefunden

2. So ein Ding das von Menschen mit krimineller Energie programmiert wurde (V/W/T)

lg,m

Hi.

Muss nicht sein, dass der SBS offen ist, es könnte sich um eine NDR Attacke handeln

- Server bereinigen wie hier beschrieben - http://support.microsoft.com/default.aspx?scid=kb;en-us;886208

- und auch hier - http://support.microsoft.com/default.aspx?scid=kb;en-us;324958

- NDR Versand vorübergehend deaktivieren

- Empfängerfilter intallieren - http://www.sbspraxis.de/exchange/ex03010/ex03010.html

- auf offenes Relay testen - gleicher Artikel -> Links unten

LG Günther

Relay ist definitiv dicht!!!

Die andere Sache probiere ich nochmals. Habe die Warteschlange jetzt geleert über das Queue- und BADMail-Verzeichnis.

Wie kann es sich um eine NDR-Attacke handeln? Erkennen das Antivirenprogramme nicht?

mfg,

E. Richert

Hi.

Wie sollte ein Virenscanner eine NDR Attacke erkennen ?

Zur Info - http://www.heise.de/security/result.xhtml?url=/security/artikel/46496&words=non%20Delivery

LG Günther

Relay ist definitiv dicht!!!

:schreck: Deine Tastatur steckt

lg

EDIT: :D Auch Spaß muss sein

Nein - meine Tastatur ist nicht dicht!

Ich habe nur einen Zittrigen zum Ende mancher Zeile.

Tja... (schon wieder) - die Vogelgrippe.

mfg,

E. Richert

@guenterh:

Du hattest Recht - schien eine NDR-Attacke zu sein. Leider konnte ich die Warteschlange nur über das Queue-Verzeichnis löschen, aber danach war alles erledigt.

Habe dem Kunden gesagt, dass Updates durchgeführt werden müssen. Zudem habe ich di zugelassenen Empfänger ausschließlich auf den Domain-Namen eingegrenzt. Da es ein e.V. ist, wollten die noch alle möglichen eMail-Adressen empfangen. Nachdem denen jetzt ein erheblicher Aufwand entstanden ist, denken die jetzt ein bisschen anders.

Ich werde dort aber ein Problem haben: die holen die Mails per popconnector ab. Jetzt steckt irgendein Empfänger von denen in einer Mailingliste. Diese kann dann irgendwie nicht aufgelöst werden ("undisclosured recipients" oder so ähnlich).

Wir kann man jetzt dieses Problem umgehen?

mfg,

E. Richert

@guenterh:

Ich werde dort aber ein Problem haben: die holen die Mails per popconnector ab. Jetzt steckt irgendein Empfänger von denen in einer Mailingliste. Diese kann dann irgendwie nicht aufgelöst werden ("undisclosured recipients" oder so ähnlich).

 

Wir kann man jetzt dieses Problem umgehen?

 

mfg,

 

 

E. Richert

Wenn ich es richtig verstanden habe kommt der Popconnector mit der Mailingliste nicht zu recht! Eventuell hilft Dir Popbeamer weiter!

http://www.dataenter.co.at/products/popbeamer.htm