Server als Spamschleuder?

[Mr_Marple 15]

Hallo!

 

Ich habe ein eigenartiges Problem mit einem SBS 2003 + Exchange.

 

Meine Warteschlangen sind voll mit Nachrichten eines Absenders, der NICHT aus der internen Domäne kommt.

Es sind ca 4000 Domänen an die der Absender in der Warteschlange nicht senden kann.

 

Relay ist der Server keines, hat auch alle Tests von Mail relay testing bestanden.

 

Im virtuellen SMTP habe ich ständig offene Sitzungen von eine IP in Brasilien.

Siehe Screenshot 1.

Ich habe jetzt mal die Annahme von dieser IP gesperrt.

Was genau besagt die Spalte Benutzer eigentlich?

Hier hat sich der Brasilianer als User angemeldet, wo existiert dieser User?

Bei uns jedenfalls nicht.

 

 

Es ist auch die Filterung aktiviert dass nicht-AD User abgelehnt werden.(Screenshot 2)

 

Was kann ich tun um dieses Problem zu lösen?

Ich bin da irgendwie ratlos... :confused:

[GuentherH 61]

Hallo.

 

Schau einmal im AD nach ob es da einen Benutzer "User" gibt. Anscheinend kann sich der Kollege über dieses authentifizieren.

 

LG Günther

[Mr_Marple 15]

Hallo,

 

nein bei uns gibt es den User nicht.

 

Auch glaub ich gar nicht dass in dieser Spalte richtige AD User stehen.

 

Ich hab da auch schon andere User gesehen, mit irgendeinen namen zB. eine IP mit Nummern und so.

 

Vermutlich bekommen anonyme User irgendeinen Namen, ist aber auch nicht soo wichtig.

 

Wichtiger wäre zu wissen wie das Ganze eigentlich passiert ist.

 

Ich rätsle nun seit Stunden und kann mir das nicht erklären.

Wenn ich einen Trojaner am Server hätte, dann würde der doch selbst senden und nicht den Exchange dazu benutzen.

Keine Ahnung.....

[GuentherH 61]

Hallo.

 

dann würde der doch selbst senden und nicht den Exchange dazu benutzen.

 

Stimmt nicht ganz. Da der Trojaner Port 25 benutzt, sendet er über den SMTP des Exchange.

 

Konfiguriere im virtuellen SMTP das nur die IP des Exchange auf diesen zugreifen darf.

 

LG Günther

[Mr_Marple 15]

Nur der Vollständigkeit halber:

 

Habe das Problem dann gelöst, es wurde tatsächlich ein interner User zur Authentifizierung verwendet.

Nur hatte der einen ganz anderen Namen als bei den offenen Sitzungen angezeigt wurde, deshalb hab ich es auch nicht gleich entdeckt dass es doch ein interner User war.

 

Die haben einfach mit Brute-Force das Passwort geknackt, man sieht auch jetzt noch im Ereignisprotokoll immer wieder Anmeldeversuche bei Usernamen wie Office, Sales, Marketing, udgl....

 

Da die immer von anderen Servern kommen kann ich da in der Firewall gar nichts sperren.

Ich kann nur hoffen dass denen mal fad wird und sie aufgeben. :D

[NorbertFe 2.283]

Man könnte auch Kennwörter verwenden, die man nicht so ohne weiteres per Brute Force herausbekommt. ;)

 

Bye

Norbert

[GuentherH 61]

Hallo.

 

Da die immer von anderen Servern kommen kann ich da in der Firewall gar nichts sperren

 

Brauchst du auch nicht. Du musst nur im virtuellen SMTP einstellen, dass die User nicht auf diesen zugreifen dürfen.

 

LG Günther

[Mr_Marple 15]

Ja, hatte ich dann auch gleich gemacht. Standardmässig ist das anscheinend aktiviert.

 

Tja, und das mit den Passwörtern ist auch oft so eine Sache, habe es schon gesehen dass die komplexeren Passwörter auf einem Post-It stehen das am Bildschirm klebt. :shock:

 

Jeder wie er will.... :rolleyes:

[djmaker 95]

Nur das ein Trojaner kein Post-it lesen kann. :-)

[Mr_Marple 15]

Hahaa, na soweit sind wir Gott oder wem auch immer sei Dank noch nicht! :D:D

 

Nur super wirds wenn ein "Kunde" sich dann wegen so einem Unsinn selbst bedient.

Firmendaten sollte man hüten wie ein Heiligtum.