Versendet unsere Firma Spam?

[dvbuddy 14]

Hallo,

wir haben da ein Problem mit Spammails. Wir bekommen eine Menge Mails von unterschiedlichen Postmasten zurück, die gefälschte Absender mit unserm Domainnanen tragen.

 

Wie kann ich nun sicher gehen, das sich bei uns kein Spammversender eingenistet hat oder schlimmeres (...versteckter Webserver)?

 

Unser Mailserver (David / Tobit) liegt hinter einer Firewall und einem Router auf einem w3k Server. Diverse Virenscanns und Adwarescanns waren erfolglos.

 

MfG Bernd

[ole220170 10]

Hast du schon *Snort* befragt?

 

ich würde Snort ansonsten installieren und schauen was sich da so alles bei Euch tut.

 

Snort - the de facto standard for intrusion detection/prevention

 

hth

Gruß

Niels

[dvbuddy 14]

Ich habs mir gerade mal angeschaut und installiert. Leider ist das Tool für die Commando Zeile. Muss ich mich dann erstmal einarbeiten.

[ole220170 10]

Ich habs mir gerade mal angeschaut und installiert. Leider ist das Tool für die Commando Zeile. Muss ich mich dann erstmal einarbeiten.

 

 

Hi dvbuddy!

 

Auf der Seite findest Du auch entsprechend gut dokumentierte HowTo's. Ähnlich *snort* ist auch ethereal, das hat eine GUI.

 

hth

Gruß

Ole

[ole220170 10]

...evtl hilft auch *Nessus*...

 

Gruß

Ole

[olc 18]

Hallo,

 

habt Ihr den Server als offenes "Relay" konfiguriert oder laßt Ihr nur authentifizierte Benutzer / Computer / Subnetze Mails senden?

 

Gruß olc

[dvbuddy 14]

Wir lassen nur authentifizierte Benutzer senden. Die Frage, die mich Interessirt ist ja ob es versteckte SMTP "Mitbenutzer" gibt. Etherreal, jetz wireshark kenne ich. Ich bin aber immer mit der Auswertung der Datenflut etwas überfordert, da meine Kenntnisse in dem Bereich nicht so stark sind.

[olc 18]

Schaltet doch das Logging auf dem E-Mail Server ein. Dann sollte sich nachvollziehen lassen, über welchen Account die Mails gesendet werden. Ist erst einmal ein Ansatz. Wenn Du dann noch das Logging so konfigurierst, daß er die Client-Adressen loggt, brauchst Du nicht im Netzwerk zu sniffen.

 

Gruß olc

[dvbuddy 14]

Beim Davidserver werden alle Aktivitäten seiner Clients aufgezeichnet. Hier ist nichts zu sehen. Wenn ein Trojaner einen eigenen SMTP Server installiert, ist das für den Mailserver ja nicht zu sehen. Wie kann mann so etwas aufspüren?

[ole220170 10]

Hallo dvbuddy,

 

da ich mich mit dem tobit-kram mal grad gar nicht auskenne, würd ich mal sagen, dass Du dich vielleicht mal auf der Seite von Marc Ruef umsiehst. AFAIK hat der dort auch ein Forum...

 

computec.ch

 

Hast Du mal ein nmap von aussen auf Euch abgesetzt? Welche Ports sind denn alle offen und wie ist Eure FW konfiguriert?

 

Auf obiger Seite solltest du aber ausreichend Tools finden, um mal zu testen, was da bei Euch abgeht.

 

Ein gutes Buch über IDS gibt es aus dem Hüthig-Verlag (ISBN 3826650441)

 

hth

Ole

[olc 18]

Hallo,

 

das würde dann aber unter Umständen auch nicht bedeuten, daß Eure Mailadressen für das Spammen benutzt werden.

 

Grundsätzlich können die Nachrichten, daß Mails nicht zugestellt worden sind, auch daher kommen, daß ein Pool Eurer Adressen (damit meine ich wirklich nur die Adressen) genutzt wird, um Mails zu senden. D.h. die Absenderadresse wird mißbraucht. Das heißt nicht zwangsläufig, daß bei Euch ein Trojaner hängt oder Euer Server als Relay mißbraucht wird... Es ist jedoch auch nicht auszuschliessen.

 

Um die Situation besser einschätzen zu können ist Snort o.ä. sinnvoll, aber auf die Schnelle doch schwer bereitzustellen, wenn man es noch nie benutzt hat. Könnt Ihr als Vorsichtsmaßnahme an Eurer Firewall den Ausgang (also intern nach extern) von SMTP Verkehr außer vom Mailserver blocken? Somit könnte man wenigstens einmal schauen, ob Versuche statfinden Mails zu senden, die nicht vom Mailserver kommen (Logging einschalten).

 

Wenn Ihr Euer gesamtes Netzwerk sniffen wollt habt Ihr neben der anfallenden Datenmasse eh das Problem, daß in einem geswitchten Netzwerk nicht so einfach mitgeschnitten werden kann...

 

Gruß olc

[dvbuddy 14]

Danke für die Tips. Dann werd ich wohl mal ein bisschen was testen und ein Buch bestellen. Wann ich das noch lesen soll, steht natürlich mal wieder auf einem anderen Blatt...;)

[Volvotrucker 10]

Hallo,

wir haben da ein Problem mit Spammails. Wir bekommen eine Menge Mails von unterschiedlichen Postmasten zurück, die gefälschte Absender mit unserm Domainnanen tragen.

Also solche Mails kommen bei uns auch ab und zu an. Z.B. für den User qfrzy@DOMAINNAME.de. Das ist meiner Meinung nach eindeutig Spam, bei dem die Versender davon ausgehen, dass man so besch.... ist und den Anhang öffnet. Ich hab die immer nur gelöscht. ;)

Absenderadressen zu fälschen ist für die Spammer ja net wirklich ein Problem und wenn die Zieladresse nicht erreichbar ist, landet der Unzustellbarkeitsbericht logischerweise in unserem Catchall-Postfach, sprich bei mir.

[marka 584]

Nur so als Anregung:

Ich würde auf jeden Fall zusätzlich nochmal die Firewallconfig checken.

Wenn nur dem Tobit-Server erlaubt ist, sich über POP3/SMTP mit dem Internet zu verbinden, dann schließt Du automatisch evtl. agierende Trojaner auf den Clients aus.

 

Auch wir erhalten derartige Mails.

Die Nachverfolgung verläuft zu 99% im Sande, sprich über anonyme Proxies, also SPAM.

[s.k. 11]

@dvbuddy: Schau doch einfach in den Header der meist beigefügten Ursprungsmails. Da sieht man, welchen Weg die Mail genommen hat und vorallem, von welcher IP-Adresse aus sie versendet wurde.

Dass Eure Domain als Absenderadresse verwendet wurde, ist _keinerlei_ Indiz dafür, dass die Mail von Euren Systemen kam.

 

Gruß

Steffen