yabbax 11 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Hallo, ich habe seit heute morgen in den Logfiles eine große anzahl an Einträgen folgender art entdeckt: 2011-5-17 22:58:42 GMT 88.43.246.96 User - MAIL 192.168.30.10 acapece2@cfl.rr.com 1024 MAILlDPHpNwqeq5Z3Jj00000343@mail.domaene.de 3 0 7530 50 2011-5-17 22:58:35 GMT 0 Version: 6.0.3790.4675 - Unauthorized Access Notice alerts@Citibank.com - oder 2011-5-17 23:4:8 GMT 88.43.246.96 User relay.medianet-world.de MAIL 192.168.30.10 addy22633@windstream.net 1031 MAILuN4joBHChgS86aR00000358@mail.domaene.de 3 0 7530 50 2011-5-17 23:3:59 GMT 0 Version: 6.0.3790.4675 - Unauthorized Access Notice alerts@Citibank.com - Und das im großen Maße, also der Logfile exchsrv\mail.log ist momentan 80MB groß. 2011-05-17 18:15:19 88.43.246.96 User DATA <MAILgzDgtZKpjE5aHaZ000000d4@mail.domaene.de> 129 7534 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250-relay.medianet-world.de 27 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand RCPT TO:<chastings@doanepetcare.com> 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand RCPT TO:<chastings@centurytel.net> 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand RCPT TO:<chastings@excite.com> 4 0 2011-05-17 18:15:19 88.43.246.96 User QUIT User 65 4 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250+ok 6 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250+ok 6 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand DATA - 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 354+go+ahead 12 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250+ok+1305656117+qp+81323 26 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand QUIT - 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 220+relay.medianet-world.de+ESMTP 33 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand EHLO mail.domaene.de 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250-relay.medianet-world.de 27 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand QUIT - 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 250-relay.medianet-world.de 27 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionCommand QUIT - 4 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 0 2011-05-17 18:15:19 213.157.0.172 OutboundConnectionResponse - 221+relay.medianet-world.de 27 Wir haben hier einen SBS2003 mit ISA 2004 Standard im Einsatz. Dieser hat 2 NW-Karten extern und intern. Ein offenes relay habe ich nicht, das habe ich mit abuse.com getestet. Was kann ich tun, bzw. wie erkenne ich, ob die mails über meinen server versendet wurden - aus den logfiles werde ich nicht ganz schlau. wie ist die weitere Vorgehensweise - ich würde jetzt erstmal allen verkehr von dieser IP sperren. Danke und Gruß Thomas Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 19. Mai 2011 Autor Melden Teilen Geschrieben 19. Mai 2011 Ach so: Die Übermittlung der EMails erfolgt über den smarthost relay.medianet-world.de. Wenn ich mir eine dieser mails im nachrichtenverlauf ansehe, dann meine ich, die mail wurde zugestellt. der letzte eintrag lautet Nachricht mittels SMTP an relay... übermittelt ich verstehe das nicht. ich habe kein offenes relay, das habe ich auch schon per cmd getestet. oder gibt es da noch andere möglichkeiten? Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Steht denn auch was in der Queue? Könnte sich um Backscatter handeln. Bye Norbert Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 19. Mai 2011 Autor Melden Teilen Geschrieben 19. Mai 2011 nein, in der queue steht nichts. Ich habe jetzt mal das diagnoseprotokoll von smtp auf maximum gestellt. muss ich dazu irgendeinen dienst neu starten oder gehts ohne? Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Das Diagnoseprotokoll ist aber egal. Das was interessant ist ist einzig und allein an dieser STelle das SMTP Logging. Bye Norbert Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 19. Mai 2011 Autor Melden Teilen Geschrieben 19. Mai 2011 ich dachte mit dem diagnoseprotokll kann ich erkennen, welches nutzerkonto kompromittiert ist/wurde. Wie komme ich beim SMTP-Logging weiter? Ich kenne die IP des angreifers, will doch aber wissen wie dieser das macht... Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Wie erhältst du Mails? Ich tendiere immer noch zu Backscatter, und du siehst keine Queues weil du direkt an den Smarthost des Providers versendest. Du könntest die Queue mal pausieren und schauen was da für Mails rausgehen. Bye Norbert Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 19. Mai 2011 Autor Melden Teilen Geschrieben 19. Mai 2011 Die mails erhalte ich direkt. wie kann ich die queue pausieren? Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Exchange Server 2003 Mailflow (Part 2) - Troubleshooting Wenn du die direkt erhältst, warum versendest du dann über einen Smarthost? Bye Norbert Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 19. Mai 2011 Autor Melden Teilen Geschrieben 19. Mai 2011 wir haben keinen reverse ptr für unsere domaene und dehslab werden einige mails nicht angenommen. unser chef will auch keinen eintrag, da dann z.b. kunden sehen könnten das wir auf deren seite waren. was spricht denn gegen einen smarthost? vielleicht kann ich meinen chef doch noch überzeugen... danke für den link, schaue ich mir gleich mal an. Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Äh Kunden sehen auch so die andere Seite, da die ne Mail von euch bekommen haben, oder versteh ich die Logik grad nicht? Es spricht nichts gegen einen Smarthost, ausser dass man einfach eine "Partei" dazwischen hat, die man eben nicht vollkommen kontrollieren kann. Bye Norbert Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 19. Mai 2011 Autor Melden Teilen Geschrieben 19. Mai 2011 (bearbeitet) Es geht eher ums surfen auf webseiten. wir z.b. schauen uns logs an um zu erkunden wer auf unserer seite war 8z.B. kunden die wir jüngst kontaktiert haben). ****e frage: das mit dem abschalten der queue: lt. deinem link ist das doch in der warteschlange vorzunehmen. da kann ich aber nicht die warteschlange deaktivieren . irgendwie stehe ich auf dem schlauch... Acho so: Backscatter bedeuted doch NDRs werden zugestellt, oder? A ber dann müssten doch die empfänger der mails unsere domäne als adresse haben. Die haben aber eine fremde. ndrs werden doch nicht beim abgewiesenen relay-Versuch gesendet, oder etwa doch? bearbeitet 19. Mai 2011 von yabbax Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Acho so: Backscatter bedeuted doch NDRs werden zugestellt, oder? A ber dann müssten doch die empfänger der mails unsere domäne als adresse haben. Die haben aber eine fremde. ndrs werden doch nicht beim abgewiesenen relay-Versuch gesendet, oder etwa doch? Ich habe nicht alles gelesen, aber Backscatter bedeutet, dass NDRs an den gefälschten Absender geschickt werden. Beispiel: Spammail mit gefälschtem Absender X, die erzeugst aus irgendeinem Grund einen NDR dafür und der geht an X, obwohl der die Mail nicht erzeugt hat. Bei einem sauberen Anti-Spam-Konzept gibt es kein Backscatter. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.