peterg 11 Geschrieben 13. April 2010 Melden Teilen Geschrieben 13. April 2010 Hallo, bin nicht sicher ob ich in diesem Forum ganz richtig bin. Ich probiers aber mal. Ich habe hier scheinbar ein SPAM-Problem. Ein User bekam heute folgende Meldung (E-Mail Adresse und Domain habe ich geändert): Fehler bei der Zustellung der Nachricht an folgende Empfänger oder Verteilerlisten: user1@firma1.de Ihre Nachricht wurde aufgrund von Sicherheitsrichtlinien nicht zugestellt. Microsoft Exchange versucht nicht, diese Nachricht erneut für Sie zuzustellen. Wenden Sie sich mit dem folgenden Diagnosetext an Ihren Systemadministrator. Diagnoseinformationen für Administratoren: Generierender Server: mail.firma1.de user1@firma1.de #< #5.7.0 smtp; 554 5.7.0 Reject, id=28570-01 - SPAM> #SMTP# Ursprüngliche Nachrichtenkopfzeilen: Return-Path: <user1@firma1.de> Received: from [113.53.148.88] (unknown [113.53.148.88]) by mail.frima1.de (Postfix) with ESMTP id 14DAC407D8 for <user1@firma1.de>; Mon, 12 Apr 2010 06:50:18 +0200 (CEST) From: "Sildenafil, Branded Anti-ED" <user1@firma1.de> To: user1@firma1.de Subject: Buy and save, user1. All on -75% Puooviosu Date: Mon, 12 Apr 2010 14:20:17 +0930 MIME-Version: 1.0 Content-Type: text/html; charset="ISO-8859-1" Content-Transfer-Encoding: 8bit Sehe ich das richtig, dass jemand FROM: Sildenafil, Branded Anti-ED" <user1@firma1.de>) unter der vorgetäuschten Absenderadresse "user1@firma1.de" an den richtigen User TO: "user1@fimra1.de" in der Firma mit der eigentlichen E-Mail Adresse "user1@fimra1.de" eine Mail versenden wollte??? Außerdem ist mir aufgefallen, dass der SPAM-Filter von POPcon entsprechend reagiert, wenn z. B. von "externen" Mitarbeitern (haben auch eine xxx@firma1.de Adresse, sind jedoch nicht am Exchange Server) an "interne" …@firma1.de Adressen (die am Exchange Server) senden. Es kommt die Meldung: SPAM durch Liste "cbl.abuseat.org" entdeckt! Ich mußte daher erst mal die Domain "@firma1.de" auf die Whitelist setzen. Das bedeutet, dass die Domain @firma1.de als SPAM-Absender gelistet ist oder? Wie passiert so was? Was kann man nun tun? Schöne Grüße Peter :) Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 13. April 2010 Melden Teilen Geschrieben 13. April 2010 Ist doch fast schon normales "Faken" von E-Mail Adressen. Damit solche E-Mails bei dir nicht ankommen, kannst du Directory Harvesting gegen das LDAP einsetzen. Das jemand deine Domain fälscht kann man leider nicht verhindern. Die Gegenseite müsste dazu in Ihrem Spam Filter evtl. den MX Eintrag überprüfen, daran würde man sehen, dass der Server der sendet unter einer anderen IP als die vom MX Eintrag versucht seinen Spam abzuladen. Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 13. April 2010 Melden Teilen Geschrieben 13. April 2010 Hallo, hast du dir mal die Mühe gemacht zu prüfen wo der Server 113.53.x.x steht ? inetnum: 113.53.0.0 - 113.53.191.255 netname: totnet descr: dynamic IP for Broadband Service descr: TOT Public Company Limited Bangkok country: th tech-c: ag100-ap admin-c: pa82-ap status: assigned non-portable mnt-by: maint-th-tot changed: ag100.ap@gmail.com 20081022 source: APNIC Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 13. April 2010 Melden Teilen Geschrieben 13. April 2010 Sehe ich das richtig, dass jemand FROM: Sildenafil, Branded Anti-ED" <user1@firma1.de>) unter der vorgetäuschten Absenderadresse "user1@firma1.de" an den richtigen User TO: "user1@fimra1.de" in der Firma mit der eigentlichen E-Mail Adresse "user1@fimra1.de" eine Mail versenden wollte??? Jawoll das siehst du richtig. Das bedeutet, dass die Domain @firma1.de als SPAM-Absender gelistet ist oder? Auch korrekt. cbl.abuseat.org betreibt eine zentrale "Spammer Datenbank" die man beim Empfangen von Mails abfragen kann. Wie passiert so was? Was kann man nun tun? Entweder hast du eine Spamschleuder in deinem Netzwerk und ein befallener Client sendet ununterbrochen Mails über deinen Exchange oder dein Exchange ist selbst betroffen oder du betreibst ein offenes Relay. Nur um mal die gängigsten Fälle abzudecken. Eventuell spielt ja auch eines deiner letzten Probleme da eine Rolle: http://www.mcseboard.de/windows-server-forum-78/kein-zugriff-microsoft-xxx-moeglich-immer-weiterleitung-bing-164259.html Zitieren Link zu diesem Kommentar
peterg 11 Geschrieben 13. April 2010 Autor Melden Teilen Geschrieben 13. April 2010 Entweder hast du eine Spamschleuder in deinem Netzwerk und ein befallener Client sendet ununterbrochen Mails über deinen Exchange oder dein Exchange ist selbst betroffen oder du betreibst ein offenes Relay. Nur um mal die gängigsten Fälle abzudecken. Wie kann ich das überprüfen? Gesendet werden die e-Mails über ein normales e-Mail Konto "exchange@firma1.de" (nur für das Senden!!!) mit Authentifizierung. Falls das ein Client ist, wie kann man das prüfen? Das SPAM-Problem war schon vor dem neuen Server da. Nur vorher gab es keinen Exchange und die User hatten alle Outlook mit POP3-Abruf. Die e-Mail hat sich scheinbar durch den SPAM-Filter gemogelt und ist ja von "außen" gekommen oder? Warum hat das eigentlich Exchange erkannt? Wie kommt man auf so eine SPAM-Liste und wie wieder weg? Gruß und gute Nacht! Peter Zitieren Link zu diesem Kommentar
peterg 11 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Hallo, mal eine laienhafte Frage: Wenn "Spammer" e-Mails über unseren Mailserver versenden, dann doch direkt über unseren e-Mail-Provider oder??? Wie soll das von "außen" über unseren Exchange-Server gehen? Unser Server hat keine feste bzw. öffentliche IP und die e-Mails werden über einen Smart-Host (e-Mail Konto "exchange@firma1.de" (nur für das Senden!!!) mit Authentifizierung gesendet. Ich habe mal einen Portscan über heise.de laufen lassen. Unsere Firewall arbeitet scheinbar auch gut. Unser Server ist nicht anpingbar und alle wichtigen Ports werden gefiltert (z. B. 25, 53, 80, 443). Von außen wird quasi alles geblockt! Die betreffende Mail (s. o.) kam über unseren e-Mail Provider! Received: from [113.53.148.88] (unknown [113.53.148.88]) by mail.frima1.de (Postfix) with ESMTP id 14DAC407D8 Blicke nicht mehr ganz durch. Was kann ich noch tun? Kann unser Exchange Server trotzdem als offenes Relay mißbraucht werden? Wie kann ich das prüfen? Ich habe mal die Anleitung von MS (Blockieren eines offenen SMTP-Relays und Bereinigen der SMTP-Warteschlangen des Exchange Servers unter SBS) probiert, aber hier soll man die öffentliche IP eingeben. Habs dann mit der internen von einem client aus probiert aber da kommt nichts bei raus. Gruß Peter Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.