Power-Kiddy 10 Geschrieben 10. Februar 2011 Melden Teilen Geschrieben 10. Februar 2011 Hallo! Ein Bekannter hat sich bei mir gemeldet, er ha den Verdacht daß sein Exchange Server 2003 (ES) SPAMs versendet. Er hat mir einen Teil der Protokolle übermittelt und eine Sache verstehe ich nicht. Im Feld 3 steht die Client-IP - in diesem Fall immer die IP des ES Im Feld 4 steht der Client-Hostname - hier stehen aber verschiedene Namen (FQDN) Ich interpretiere das so, daß die Mails direkt vom Server "erstellt" werden. Die anderen Felder sind weitgehdn klar und gut dokumentiert. Wo kommen die diversen Hostnamen her? Kiddy Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. Februar 2011 Melden Teilen Geschrieben 10. Februar 2011 Moin, wenn Du keine Antworten bekommst, könnte es daran liegen, dass a) alle Glaskugeln defekt sind b) keine alle möglichen Protokolle von Exchange durchtesten will, um zu suchen, welches Du meinst. Wenigstens die Angabe eines Protokoll-Types und ein paar echte Auszüge daraus, wären sinnvoll, oder? Sonst sage ich mal: Die Schweizer warns.... Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 10. Februar 2011 Melden Teilen Geschrieben 10. Februar 2011 (bearbeitet) b) keine alle möglichen Protokolle von Exchange durchtesten will, um zu suchen, welches Du meinst. Er wird wohl das Log unter "C:\WINDOWS\system32\LogFiles\SMTPSVC1" meinen. War zwar jetzt nicht besonders schwierig, hättest Du aber dennoch hinzu schreiben können, Power-Kiddy. Die anderen Felder sind weitgehdn klar und gut dokumentiert. Wo kommen die diversen Hostnamen her? Das Dir das klar ist, bezweifel ich aber Wenn sein Exchange-Server angeblich Spam-Mails versendet, warum interessieren Dich hier die ein-kommenden Mails? Richtig wäre, wenn der cs-username mit "OutboundConnection" beginnt. Dann sendet der Exchange nämlich ;) Wie kommt Dein Bekannter überhaupt darauf? Prüfe mal, ob der Server ein offenes Relais ist. Gibt einige Online-Tools, die Dir dabei helfen. Z.B. MXTOOLBOX MX Lookup Tool - Check your DNS MX Records online - MxToolbox Also: Mehr Infos bitte ;) bearbeitet 10. Februar 2011 von iDiddi Irrelevante Frage Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 11. Februar 2011 Melden Teilen Geschrieben 11. Februar 2011 Er wird wohl das Log unter "C:\WINDOWS\system32\LogFiles\SMTPSVC1" meinen. War zwar jetzt nicht besonders schwierig, hättest Du aber dennoch hinzu schreiben können, Power-Kiddy. Also mir würde mindestens noch das Message-Tracking einfallen, das fast genauso aussieht. Und auch das Event-Log ist ein Log mit Feldern, könnte also auch gemeint sein. -> Wie man Fragen richtig stellt: eine Anleitung wie man Fragen erfolgreich in Usenet, Mailing Listen und Webforen stellt. ;) Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Also wenn dein Kollege schon Probleme mit Spams vermutet, und sicherlich hat, und wenn nicht bestimmt bekommen wird, dann würde ich deinem Kollegen ohne dass ich die Protokolle anschaue sagen: -Kauf einen SpamFilter So was ist nicht allzu teuer. Du bekommst so was als Appliance von Symantec "Bright Mail Security" schon für 800€. Das ist es der Firma sicher wert. Die kannst du virtuell oder physisch betreiben. Alternativ könntest du auch zB. Sophos PureMessage auf dem Exchange Server installieren wenn es keine Appliance sein soll. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Hmmm, ein Spamfilter ist irgendwie nicht der richtige Weg. Zuerst sollte untersucht werden ob in dem Netzwerk Viren unterwegs sind. Die betroffenen Systeme kann man dann nach einer Datensicherung neu installieren. Das war es. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.