Exchange 2003 Absenderfilterung

[NorbertFe 1.845]

Der Relay ist eingerichtet da ich ein unbestimmt zahl von mac clients habe die über smtp versenden und ich das nicht einfach umstellen oder entourage einführen kann.

 

Warum sollte ein Mac Relayen können? Du kannst bei GMX usw. auch ohne Relaying ne Mail verschicken. SMTP Auth heißt das Stichwort. Ansonsten wirst du immer suchen müssen, wer denn jetzt der eigentliche Spammer ist.

 

Bye

Norbert

[Huettenwirt 10]

Ok dann werd ich mal einen Termin machen wo ich die Apple Mail Clients konfigurier!

 

Gibts sonst noch was das ich beachten kann??

 

Die Spammails kamen über smtp oder?? Dann kann ich meine Suche wenigstens darauf beschränken..

[NorbertFe 1.845]

Dein Guest Account auf dem Exchange /DC ist aber deaktiviert, oder? Passwortprobleme sonstiger Art kannst du ausschliessen?

 

Bye

Norbert

[Huettenwirt 10]

Jup Gast ist deaktiviert..

Passwort Probleme kann ich leider nicht ausschließen!

 

Am besten alle Passwörter erneuern oder??

 

Wie gesagt: Kann man sagen dass die Spam Mails über SMTP rein kamen?

So kann ich zumindest mal IMAP usw. ausschließen!

[NorbertFe 1.845]

Wie gesagt: Kann man sagen dass die Spam Mails über SMTP rein kamen?

 

Das hängt von deinem Logging ab. Im SMTP Log siehst du wenn die notwendigen Punkte aktiviert wurden alles was passiert. Sowohl ein als auch ausgehend. Und vor allem woher und wohin. Eventuell mal den Logparser raussuchen und damit anschauen. Das SMTP Log ist in E2k3 wirklich eklig unübersichtlich. ;)

 

Bye

Norbert

[Dukel 439]

[...]

Wie gesagt: Kann man sagen dass die Spam Mails über SMTP rein kamen?

So kann ich zumindest mal IMAP usw. ausschließen!

 

Imap ist für den Empfang von eMails da.

[Huettenwirt 10]

Ok ich überprüf die Logfiles und meld mich dann nochmal..

[Huettenwirt 10]

Also ich hab die Logfiles gecheckt. Hier ein kleine Ausschnitt daraus..

 

2010-3-23 20:43:47 GMT 82.128.18.182 User - DELL 192.168.3.1 good8guy@hotmail.com 1020 DELLyY0QUUBPcZi71mr00001390@mail.f-d.de 3 0 2530 50 2010-3-23 18:30:12 GMT 0 Version: 6.0.3790.3959 - - mrsrosemarycampbell@web2mail.com -

 

2010-3-23 20:43:47 GMT 82.128.18.182 User - DELL 192.168.3.1 good99fell@hotmail.com 1020 DELLyY0QUUBPcZi71mr00001390@mail.f-d.de 3 0 2530 50 2010-3-23 18:30:12 GMT 0 Version: 6.0.3790.3959 - - mrsrosemarycampbell@web2mail.com -

 

2010-3-23 20:43:47 GMT 82.128.18.182 User - DELL 192.168.3.1 goodahh@hotmail.com 1020 DELLyY0QUUBPcZi71mr00001390@mail.f-d.de 3 0 2530 50 2010-3-23 18:30:12 GMT 0 Version: 6.0.3790.3959 - - mrsrosemarycampbell@web2mail.com -

 

2010-3-23 20:44:45 GMT 82.128.18.182 User smtp.1und1.de DELL 192.168.3.1 eyad2002@aroob.com 1031 DELLN7miR9Odutox7ny000012e6@mail.f-d.de 3 0 2530 50 2010-3-23 18:24:0 GMT 0 Version: 6.0.3790.3959 - - mrsrosemarycampbell@web2mail.com -

 

2010-3-23 20:44:45 GMT 82.128.18.182 User smtp.1und1.de DELL 192.168.3.1 eyad96@maktoob.com 1031 DELLN7miR9Odutox7ny000012e6@mail.f-d.de 3 0 2530 50 2010-3-23 18:24:0 GMT 0 Version: 6.0.3790.3959 - - mrsrosemarycampbell@web2mail.com -

 

2010-3-23 20:44:45 GMT 82.128.18.182 User smtp.1und1.de DELL 192.168.3.1 eyadmkn@maktoob.com 1031 DELLN7miR9Odutox7ny000012e6@mail.f-d.de 3 0 2530 50 2010-3-23 18:24:0 GMT 0 Version: 6.0.3790.3959 - - mrsrosemarycampbell@web2mail.com -

 

Dell ist der Servername, 192.168.3.1 seine IP

 

D.h. doch für mich der Absender mrsrosemarycampbell@web2mail.com sendet über die IP Adresse 82.128.18.182 Emails an mich (ersten drei Log Files) und bei den letzten 3 sendet mein Exchange über smtp connetor 1und1 die Emails raus oder??

 

Wie bekomme ich das jetzt in Griff dass sowas nicht mehr passiert??

[Huettenwirt 10]

Was auch noch interessant wäre wenn ich irgendwo rauslesen könnten über welchen user account / anmeldung die Email versendet wurde. Geht das irgendwo??

 

2010-03-23 18:14:18 82.128.18.182 User SMTPSVC1 DELL 192.168.3.1 0 MAIL - +FROM:<mrsrosemarycampbell@web2mail.com> 250 0 57 44 0 SMTP - - - -

2010-03-23 18:14:18 82.128.18.182 User SMTPSVC1 DELL 192.168.3.1 0 RCPT - +TO:<bedos500@hotmail.com> 250 0 33 30 0 SMTP - - - -

[NorbertFe 1.845]

Wenn die von aussen kommt, dann muß das kein User sein. Ich vermute immer noch entweder ndr spam oder dein SBS ist nicht so relaysicher wie deine Tests vermuten lassen. Schick dir doch von aussen selbst mal eine Mail, dann siehst du genau wie das Logfile funktioniert.

 

Bye

Norbert

[Huettenwirt 10]

Ok das mit NDR Spamming hört sich für mich auch plausibel an..

zumal ich ja auch eine Empfängerrichtlinie eingerichtet habe, sprich er dürfte ja eh keine Emails empfangen für user die nicht im System stehen.

 

Was wäre ein Abhilfe?? Ich dachte schon an Abruf über POP (Popcon und Catchall Adresse). Oder evtl. eine Lösung wie Antispameurope.

 

Eure Meinung??

[NorbertFe 1.845]

Ok das mit NDR Spamming hört sich für mich auch plausibel an..

zumal ich ja auch eine Empfängerrichtlinie eingerichtet habe, sprich er dürfte ja eh keine Emails empfangen für user die nicht im System stehen.

 

Der Empfängerfilter gilt aber nur für eigene Empfänger. Wenn du tatsächlich ein Openrelay sein solltest, hilft der dir überhaupt nicht.

 

Was wäre ein Abhilfe?? Ich dachte schon an Abruf über POP (Popcon und Catchall Adresse).

 

Pest und Cholera. Du glaubst doch nicht ernsthaft, dass das irgendein Problem besser machen würde, oder? ;)

 

Oder evtl. eine Lösung wie Antispameurope.

 

Du kannst dir dir 30 Tage Trial von ORF Enterprise Edition runterladen und mal nach dem dortigen Best Practise Guide konfigurieren.

http://www.vamsoft.com/downloads/getmostguide.pdf

 

Dann hast du auch ein Logfile, mit dem man etwas anfangen kann.

Wenn man dann NDR Spamming erkennen kann, kann man schauen, ob sich mit dem Back Scatter Agent das Problem lösen läßt. Der ist allerdings noch nicht offiziell freigegeben.

 

Bye

Norbert