Jump to content
Sign in to follow this  
italianstallion

Exchange2k3 antwortet Spammern mit Unzustellbarkeitsnachrichten

Recommended Posts

Tag Zusammen,

 

Mach mir n bissel Sorgen um meinen Exchange. Er hat seit Tagen ca. 100 Mails in der Queue die er nicht los wird - was logisch ist wenn ich euch gleich das Szenario beschreibe:

 

Infos:

- Exchange 2k3 Std steht im LAN und bedient Outlook Clients per MAPI

- Er empfängt direkt über NAT Mails per SMTP -> Kein POPConn. o.ä

- Er schickt Mails direkt per SMTP raus, feste IP mit PTR Eintrag

- Keine Antispamlösung für eingehende mails/Spams

 

Problem:

1. Er hat ca. 100 Mails in der Queue

2. Schaue ich mir die EML-Files an, sind das Unzustellbarkeitsnachrichten an Spammer, dass es die Postfächer nicht gibt - was auch stimmt

3. Es handelt sich entweder um alte Postfächer die nicht mehr aktiv sind oder sowas wie "falscherbenutzer@richtigedomain.de" und mein Exchange antwortet immer brav "user gibts nicht"

-> Diese Mails gehn natürlich nicht raus, da die Absender gefälscht sind und meist gar nicht existieren

 

Meine Fragen:

1. Wie stelle ich im Exchange ab, dass er Unzustellbarkeitsnachrichten erstellt

2. Sollte 1. gehen, wie trenne ich dann, dass er gültigen Absendern Antwortet aber Spammern nicht? Schließlich ist es ja wichtig Kunden/Lieferanten zu sagen, dass es den ein oder anderen user nicht mehr gibt oder er sich vertippt hat

 

-> Mir ist klar, dass wenn ich vorher schon Spam blocken würde, es nichts mehr zu antworten gäbe, aber die Frage beschäftigt mich trotzdem, da ich

1. So schnell keinen Filter implementieren werde

2. ich neugierig bin

3. das Problem schnell lösen möchte

 

Danke für eure Tips!

Stallion

Share this post


Link to post
Share on other sites

Hmmm...Günther ich glaub du hasts mal wieder geschafft...

 

...geschafft zu zeigen, dass du der größte bist! :jau:

 

Nur zum Verständnis:

 

Vorher hat der Exchange die Mail dessen Empfänger es nicht gibt erstmal angenommen und dann geantwortet: User Gibts hier nicht (NDR)!

 

Jetzt (Nach der Umstellung) sagt ers bevor die SocketConnection aufgebaut wird und deshalb bekomm ich die Antwort von meinem Server, richtig?

 

Zumindest hab ich das so dank TELNET und Mailheader der Antworten verstanden!

 

Danke dir wiedermal...

Stallion

Share this post


Link to post
Share on other sites

Richtig, sobald schon bei Beginn der Übertragung als Empfänger eine ungültige Adresse vom Absender kommt, meldet der Server nicht mehr "250 2.1.5 " sondern "550 5.1.1 User unknown".

 

D.h. ohne gültige Empfängeradresse wird gar keine Mail mehr akzeptiert.

 

mfg

Monarch

Share this post


Link to post
Share on other sites

Hallo.

 

Es gibt 2 verschiedene Arten wie der Exchange 2003 E-Mails behandelt, die nicht zugestellt werden können wenn es keinen Empfänger gibt.

 

a) er nimmt alle Mails erst einmal an und verschickt dann einen NDR

b) wenn der Empfängerfilter aktiviert ist, bricht er die SMTP Verbindung ab, wie von Monarch beschrieben. Bei dieser Methode wird natürlich kein NDR versandt, da es ja keine komplette SMTP-Session gibt.

 

Bei b) kann aber der Angreifer durch eine Brute-Force-Attacke die richtigen Mailadressen herausfinden, die es in einer Exchange Organisation gibt.

Seit Windows 2003 SP1 gibt es dafür einen Hotfix, der dies verhindert (Tarpitting) um dies zu verhinden - SMTP tar pit feature for Microsoft Windows Server 2003

In Windows 2003 SP2 ist dieser Hotfix bereits enthalten, und es sollte keine Problem mit aktiviertem Empfängerfilter geben.

 

LG Günther

Share this post


Link to post
Share on other sites
Genauso hatte ich das auch verstanden...danke!

 

Mal ganz doof gefragt: wie finde ich am schnellsten raus welche Ex und Hotfix Version ich habe? ESM?

 

Gruß

Stallion

Morgen

 

dazu gehst du in ESM -> Server und hats auf der rechten Seiten deinen Exchange stehen, in Spalte "Serverversion" kannst du auch genau deine Version erkennen.

Installierte Hotfixes und Updates stehen in Systemsteuerung -> Software ("Updates anzeigen" aktivieren).

Share this post


Link to post
Share on other sites

So simpel wie unerwartet ;)

 

Version 6.5 mit SP2, dann muss ich mir über die BruteForce Attacke wenigstens keine Sorgen machen und kann Mails mit falschem Empfänger schon vorher mit nem 500er blocken!

 

Danke nochmals an alle und weiter so!

Stallion

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...