Jump to content
Sign in to follow this  
SecurityMaker

Mystische E-Mail Weiterleitung ?

Recommended Posts

Hallo,

 

hab hier nen komisches phänomen endeckt heute in meinem Postfach.

 

Gegebenheiten:

1 Server (Windows 2003 SBS SP2,alle Updates etc. läuft als DC,Exchange u.s.w)

5 Clientes (Windows XP SP2 alle auf den Neusten Stand)

 

Sicherheitsvorrichtungen

UTM Firewall Appliance

Kaspersky Anti-Virus Workstation auf den Clients

Kaspersky Windows File Server und Exchange auf dem Server

Neusten Updates.

 

So jetzt zum Problem:

 

Hab heute ne Unzustellbarkeits meldung vom Exchange Bekommen.

 

Unzustellbar: RE: Internet Drugstore

Systemadministrator

Ihre Nachricht hat einige oder alle Empfänger nicht erreicht.

 

Betreff: RE: Internet Drugstore

Gesendet am: 12.07.2007 06:25

 

Folgende Empfänger konnten nicht erreicht werden:

 

mail137709@vpop4.pop.net am 12.07.2007 07:01

Fehler bei der SMTP-Kommunikation mit dem E-Mail-Server des Empfängers. Wenden Sie sich an Ihren Systemadministrator.

< ps0.ash.ops.us.uu.net #5.5.0>

 

dann mal schnell in den optionen der E-mail geschaut die wie folgt aussieht :

 

Microsoft Mail Internet Headers Version 2.0

Received: from mail pickup service by domain.com with Microsoft SMTPSVC; Thu, 12 Jul 2007 07:00:55 +0200

thread-index: AcfEQaDibqoDvkKNSpuHOtk2dG5j8w==

Cc:

Return-Path:

Bcc:

X-Sieve: CMU Sieve 2.2

Message-ID: <CDF2B0C589CD4A1BA5DCF722F52CEDC7@domain.local>

Content-Transfer-Encoding: 7bit

Date: Thu, 12 Jul 2007 07:00:55 +0200

From: "Mail Delivery Subsystem" <MAILER-DAEMON@uu.net>

X-Mailer: Microsoft CDO for Exchange 2000

To: <info@domain.com>

MIME-Version: 1.0

Content-Type: multipart/report;

report-type=delivery-status;

boundary="l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net"

Subject: Returned mail: see transcript for details

Content-Class: urn:content-classes:message

Importance: normal

Auto-Submitted: auto-generated (failure)

Priority: normal

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4073

X-OriginalArrivalTime: 12 Jul 2007 05:00:55.0679 (UTC) FILETIME=[A105F8F0:01C7C441]

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net

Content-Type: text/plain;

charset="iso-8859-1"

Content-Transfer-Encoding: 7bit

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net

Content-Transfer-Encoding: 7bit

Content-Type: message/delivery-status

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net

Content-Transfer-Encoding: 7bit

Content-Type: message/rfc822

 

Return-Path: <info@domain.com>

Received: from mr4.ash.ops.us.uu.net (mr4.ash.ops.us.uu.net [198.5.241.94])

by ps0.ash.ops.us.uu.net (uu-alterdial-$Revision: 1.4 $) with ESMTP id l6C4PQfu013268

for <mail137709@vpop4.pop.net>; Thu, 12 Jul 2007 04:25:31 GMT

Received: from dsl88-229-22267.ttnet.net.tr (dsl88-229-22267.ttnet.net.tr [88.229.86.251] (may be forged))

by mr4.ash.ops.us.uu.net (uu-alterdial-$Revision: 1.4 $) with SMTP id l6C4PG5o019315

for <info@ener-tech-assoc.com>; Thu, 12 Jul 2007 04:25:25 GMT

Date: Thu, 12 Jul 2007 04:25:16 GMT

X-Originating-IP: [20.750.8.85]

X-Originating-Email: [info@ener-tech-assoc.com]

X-Sender: info@ener-tech-assoc.com

Received: (qmail 15339 by uid 497); Wed, 11 Jul 2007 09:25:25 -0800

Message-Id: <20070711012525.15341.qmail@dsl88-229-22267.ttnet.net.tr>

To: <info@ener-tech-assoc.com>

Subject: RE: Internet Drugstore

From: "Meagan@viagra.com" <info@ener-tech-assoc.com>

MIME-Version: 1.0

Importance: High

Content-Type: text/html

 

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net--

 

 

Ich hab alles überprüft. Kein Virus oder sonstwas verdächtiges auf den Server oder den Clientes. Hijack this rüberlaufen lassen bei allen auch negativ. Firewall Logs nachgeschaut auch da fehl anzeige.

 

Gibts mitlaweile SPAM Mails die sich selber weiterleiten wollen?

kann mir das phänomen nicht erklären

Share this post


Link to post
Share on other sites

HI.

 

Gibts mitlaweile SPAM Mails die sich selber weiterleiten wollen?

 

Schau mal über die Boardsuche nach NDR Attacke.

 

LG Günther

Share this post


Link to post
Share on other sites

Hi!

 

Als Webmaster hab ich solche Nachrichten im 100er Pack pro Stunde im Postfach ...

 

Ist eigentlich ganz einfach zu realisieren. Einfach bei nem entsprechend konfiguriertem Server (bevorzugt ne Linux-Kiste) deine Adresse als Absender eintragen, ein offenes Mail-Relay suchen (bevorzugt in Russland) und ab die Post.

 

Ich selbst habe das mal mit SuSe Linux OpenExchange 4.1 und meinem eigentlichem Exchange als Mail-Relay nachgestellt.

 

War ca. 25 Minuten arbeit, und ich konnte mit beliebigem Absender Mails verschicken. Die Unzustellbar-Nachrichten landen dann aber beim vermeintlich richtigem Absender. Was man dagegen tun kann? Soweit ich weiß nix.

Share this post


Link to post
Share on other sites

AHA!!!

 

erstmal danke Jungs für die Info.

 

Da muss ich wohl mal wieder auf ne Schulung, weil NDR Attacken haben mir absolut nichts gesagt. Und ich dachte schon meine Sicherheitsvorkehrungen haben versagt!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...