Jump to content

Exchange 2003 spammt rum - warum?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe akut - sprich seit heute Nacht - ein kleines Problem mit einem Exchange 2003 (SBS):

 

Das Ding spammt munter durch die Gegend :mad:

 

Hintergrundinfos zum System:

 

- SBS 2003 R2 - aktuell gepatched

- Exchange 2003 SP2 - aktuell gepatched

- Clients XP-Pro SP3 - aktuell gepatched

- Patchmanagement via WSUS

- Virenschutz F-Secure - aktuell

- durchgeführter Virenscan - alles OK

- virtueller SMTP-Connector: Relayberechtigung nur für zwei/drei Kopierer (Scan to Mail) und alle Computer, die sich erfolgreich authentifizieren

- Firewall lässt SMTP-Datenverkehr eingehend und ausgehend nur zum/vom Exchange zu - die Firewall-Logs bestätigen , das kein anderes System in LAN SMTP nutzt

 

 

Auszug aus dem Exchange-Log (gekürzt):

 

Date/Time/client-ip/Client-hostname/Server-hostname/server-IP/Recipient-Address/Event-ID/MSGID/total-bytes/service-Version/Linked-MSGID/Message-Subject/Sender-Address

 

14.05.2009/21:2:59 GMT/124.198.54.204/micrsofte.com/Exchangename-des-Systems/interne-IP-des-Exchange/luvmeg@yahoo.com/1024/4M-g-n0zO@micrsofte.com/Version: 6.0.3790.3959/-/Hey Eugene sore back?/pac77kbc@micrsofte.com/

 

Temporär habe ich die 124er IP (client-ip gemäß Log) im virtuellen SMTP-Connector in der Verbindungskontrolle abgelehnt. Seither ist Ruhe.

 

Nachdem ich mit dem Provider gesprochen habe (dieser hat uns darauf aufmerksam gemacht, dass da was nicht stimmt) und wir die oben genannten Punkte abgeklappert hatten, gingen uns so leicht die Ideen aus. Einzig -> ggfs. IIS gehackt? (IIS läuft zwecks OWA usw.)

 

Frage:

 

Hat jemand akut ggfs. dasselbe Problem, oder noch besser: einen Lösungsansatz?

 

grüße

 

dippas

Link zu diesem Kommentar
Hallo,

 

nimm die Kopierer da auch raus, die müssen wohl kaum gescannt Dokumente direkt ins internet versenden, oder?

 

ASR

 

Ne, das nicht. Aber damit die Scan to Mail machen können, müssen die relayberechtigt sein.

 

Die Sache mit den auth. Computern werde ich mal prüfen.

 

Nichts desto weniger trotz sollte gemäß der Konfiguration ein externer Rechner (einer im Inet) nicht relayen/spammen dürfen. Geht trotzdem, aber warum?

 

grüße

 

dippas

Link zu diesem Kommentar
Ne, das nicht. Aber damit die Scan to Mail machen können, müssen die relayberechtigt sein.

Warum? Wenn der Kopierer per SMTP eine Mail an den Exchange Server sendet ist das kein "relaying", das wäre es erst wenn der Exchange nach Extern weiter senden soll. Das dürfte i.d.R. weder notwendig noch gewünscht sein.

Ich kann Dir nahelegen mit solchen Relay-IPs äusserst sparsam zu sein.

 

ASR

Link zu diesem Kommentar

Hallo,

 

mein Tipp wäre einfach mal auf dem Exchange Wireshark auf Port 25 lauschen zu lassen und dann zu schauen, welche IP zu deinem Exchange Kontakt aufnimmt, während er eine Mail weiterleitet. Es ist auch nicht unwahrscheinlich, dass du dann sogar erkennen kannst, wie sich der Spammer authentifiziert.

 

Ich denke das sollte die beste Methode sein, da sich Mail-Header ja fälschen lassen.

 

Streng genommen kann sich ja ein Rechner aus dem Internet ja gar nicht als authentifizierter Rechner anmelden, da du ja eine Firewall zwischen drin hast und wohl nicht RPC/LDAP/Kerberos durch lässt, oder hab ich da nen denkfehler?

 

Von daher läuft da entweder was beim Exchange falsch oder der Nutzer meldet sich als eines deiner Scan-Konten an.

 

Oder es ist wieder was ganz anderes ^^

 

ODER: Der Spammer sitzt hinter deiner Firewall (intern!)?

 

Gruß,

 

Steven

Link zu diesem Kommentar

Also einfach mal was machen und hoffen das auch weiterhin alles geht was vorher ging ist nicht so das was ich empfehlen würde. Das hört sich so danach an. Sorry wenn ich das falsch zusammenfasse :)

 

Ich würde ebenfalls schauen von Welcher IP die Sachen reinkommen, dann mir den Rechner ansehen. So wie das klinkt ist es ja die .124 Wireshark würde dann da auch mehr Sinn machen. Oder einen Mirrorport um Wireshark auf einem Cleanen Client oder Notebook verwenden zu können.

 

Wenn auf dem 124er ein IIS läuft, könnte auch ein Formular welches Ständig aufgerufen wird der Grund sein, vielleicht mal nach Requests schauen die per POST senden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...