Jump to content
Sign in to follow this  
dippas

Exchange 2003 spammt rum - warum?

Recommended Posts

Hallo zusammen,

 

ich habe akut - sprich seit heute Nacht - ein kleines Problem mit einem Exchange 2003 (SBS):

 

Das Ding spammt munter durch die Gegend :mad:

 

Hintergrundinfos zum System:

 

- SBS 2003 R2 - aktuell gepatched

- Exchange 2003 SP2 - aktuell gepatched

- Clients XP-Pro SP3 - aktuell gepatched

- Patchmanagement via WSUS

- Virenschutz F-Secure - aktuell

- durchgeführter Virenscan - alles OK

- virtueller SMTP-Connector: Relayberechtigung nur für zwei/drei Kopierer (Scan to Mail) und alle Computer, die sich erfolgreich authentifizieren

- Firewall lässt SMTP-Datenverkehr eingehend und ausgehend nur zum/vom Exchange zu - die Firewall-Logs bestätigen , das kein anderes System in LAN SMTP nutzt

 

 

Auszug aus dem Exchange-Log (gekürzt):

 

Date/Time/client-ip/Client-hostname/Server-hostname/server-IP/Recipient-Address/Event-ID/MSGID/total-bytes/service-Version/Linked-MSGID/Message-Subject/Sender-Address

 

14.05.2009/21:2:59 GMT/124.198.54.204/micrsofte.com/Exchangename-des-Systems/interne-IP-des-Exchange/luvmeg@yahoo.com/1024/4M-g-n0zO@micrsofte.com/Version: 6.0.3790.3959/-/Hey Eugene sore back?/pac77kbc@micrsofte.com/

 

Temporär habe ich die 124er IP (client-ip gemäß Log) im virtuellen SMTP-Connector in der Verbindungskontrolle abgelehnt. Seither ist Ruhe.

 

Nachdem ich mit dem Provider gesprochen habe (dieser hat uns darauf aufmerksam gemacht, dass da was nicht stimmt) und wir die oben genannten Punkte abgeklappert hatten, gingen uns so leicht die Ideen aus. Einzig -> ggfs. IIS gehackt? (IIS läuft zwecks OWA usw.)

 

Frage:

 

Hat jemand akut ggfs. dasselbe Problem, oder noch besser: einen Lösungsansatz?

 

grüße

 

dippas

Share this post


Link to post

Mache den haken raus bei "Alle auth. Computer dürfen relayen". Ein Kollege hatte einen ähnlichen Fall, da hatte nix anderes geholfen. Trage die Kopierer manuell als freigabe ein.

Share this post


Link to post
Hallo,

 

nimm die Kopierer da auch raus, die müssen wohl kaum gescannt Dokumente direkt ins internet versenden, oder?

 

ASR

 

Ne, das nicht. Aber damit die Scan to Mail machen können, müssen die relayberechtigt sein.

 

Die Sache mit den auth. Computern werde ich mal prüfen.

 

Nichts desto weniger trotz sollte gemäß der Konfiguration ein externer Rechner (einer im Inet) nicht relayen/spammen dürfen. Geht trotzdem, aber warum?

 

grüße

 

dippas

Share this post


Link to post
Ne, das nicht. Aber damit die Scan to Mail machen können, müssen die relayberechtigt sein.

Warum? Wenn der Kopierer per SMTP eine Mail an den Exchange Server sendet ist das kein "relaying", das wäre es erst wenn der Exchange nach Extern weiter senden soll. Das dürfte i.d.R. weder notwendig noch gewünscht sein.

Ich kann Dir nahelegen mit solchen Relay-IPs äusserst sparsam zu sein.

 

ASR

Share this post


Link to post

Hallo,

 

mein Tipp wäre einfach mal auf dem Exchange Wireshark auf Port 25 lauschen zu lassen und dann zu schauen, welche IP zu deinem Exchange Kontakt aufnimmt, während er eine Mail weiterleitet. Es ist auch nicht unwahrscheinlich, dass du dann sogar erkennen kannst, wie sich der Spammer authentifiziert.

 

Ich denke das sollte die beste Methode sein, da sich Mail-Header ja fälschen lassen.

 

Streng genommen kann sich ja ein Rechner aus dem Internet ja gar nicht als authentifizierter Rechner anmelden, da du ja eine Firewall zwischen drin hast und wohl nicht RPC/LDAP/Kerberos durch lässt, oder hab ich da nen denkfehler?

 

Von daher läuft da entweder was beim Exchange falsch oder der Nutzer meldet sich als eines deiner Scan-Konten an.

 

Oder es ist wieder was ganz anderes ^^

 

ODER: Der Spammer sitzt hinter deiner Firewall (intern!)?

 

Gruß,

 

Steven

Share this post


Link to post

Steven:

 

ich kann nur wiederholen das ein Kolege diesen Fall schon hatte . . . . trotz Firewall dazwischen. Wir wissen bis heute nicht wie das trotzdem funktioniert hat.

Share this post


Link to post

Also einfach mal was machen und hoffen das auch weiterhin alles geht was vorher ging ist nicht so das was ich empfehlen würde. Das hört sich so danach an. Sorry wenn ich das falsch zusammenfasse :)

 

Ich würde ebenfalls schauen von Welcher IP die Sachen reinkommen, dann mir den Rechner ansehen. So wie das klinkt ist es ja die .124 Wireshark würde dann da auch mehr Sinn machen. Oder einen Mirrorport um Wireshark auf einem Cleanen Client oder Notebook verwenden zu können.

 

Wenn auf dem 124er ein IIS läuft, könnte auch ein Formular welches Ständig aufgerufen wird der Grund sein, vielleicht mal nach Requests schauen die per POST senden.

Share this post


Link to post

Klingt für mich nach Virus/Trojaner auf einem Client, der dann brav über den Mailclient seinen Spam loswird. Dann hast Du ja auch wieder Auth.

 

Grüsse,

Basti

Share this post


Link to post

So lange willst Du warten wenn es ein Virus ist... Das sollte man doch leicht auch sofort feststellen können, und auch müssen.

Share this post


Link to post
Off-Topic:
So lange willst Du warten wenn es ein Virus ist... Das sollte man doch leicht auch sofort feststellen können, und auch müssen.


Ich weiß nicht wann bei Dir der Abend beginnt, bei meinen Kunden ist das meist spätestens 20 Uhr. Aus meiner Sicht ist das ein vertretbarer Zeitraum (<10h) bevor man panikartig Aktionen startet.

Share this post


Link to post

Darum geht es in aller Regel nicht... sondern darum das der Virus in der Regel auch was macht, ein Trojaner Daten verschifft oder andere Leute zugespammt werden. Da gibt es viele Sachen die man sich ausmalen kann.

 

.-)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...