Exchange gehackt? Tausende SMTP-Anforderungen

[MiLLHouSe 14]

Hallo,

 

ich brauche mal bitte ganz schnell und ganz dringend Hilfe.

 

Mein Exchange-Server wird gerade ganz massiv missbraucht, obwohl ich das offene Relay meines Wissens nach abgeschalten habe. Zumindest alles was ich darüber gefunden habe, sagt mir im Prinzip, dass ich es korrekt eingestellt habe.

 

Trotzdem kommt über eine IP ein Dauerbeschuss auf meinen Server. Ich hatte knapp 20000 Warteschlangen und noch viel mehr Mails, die verschickt werden sollten. Diese habe ich gelöscht und auf dem ISA-Server die IP-Adresse komplett geblockt.

 

Nun ist es aber so, dass über die IP noch immer pro Sekunde massenhaft SMTP-Anfragen kommen.

 

Was kann ich noch tun, damit das aufhört? Ich stelle mir gerade vor, der Typ wechselt die IP-Adresse und macht weiter, dann läuft mir der Server voll...

 

Wer hat hier eine Idee, was ich noch tun kann?

 

Danke!

Alex

[StefanWe 14]

Welche Exchange Version ?

Mehr Details zur Umgebung?

 

Was hast du alles schon kontrolliert um nicht als Relay zu dienen?

 

Stehen weitere Mailserver vor deinem Mailserver die eventuell die Mails annehmen und an dich weiter relayen ?

 

Auf jedenfall solltest du Port 25 erstmal von Außen zu machen, damit mein Postfach nicht überläuft ;)

[MiLLHouSe 14]

Sorry, in der Aufregung ganz vergessen:

 

Ich hab nen SBS 2003 R2, habe diese Anleitung durchgemacht Blockieren eines offenen SMTP-Relays und Bereinigen der SMTP-Warteschlangen des Exchange Servers unter SBS .

 

Es gibt keinen weiteren Server, bekomme diese direkt zugeschickt.

Traceroute ergibt, dass das ding von (darf man das hier veröffentlichen?) mail.stonegatebrokerage.com kommt.

 

Habe die IP im ISA geblockt, seitdem geht da nix mehr durch, nur was wäre, wenn der die IP-Adresse ändern würde?

[StefanWe 14]

Das ist eigentlich alles was du konfigurieren musst.

 

Hast du es mit Telnet mal versucht von einem Client außerhalb deines Netzwerkes, also vom Internet aus, Mails über deinen Server zu relayen?

[MiLLHouSe 14]

Nein, das habe ich noch nicht probiert, zumindest jetzt aktuell hätte ich auch keine Möglichkeit dazu...

Von der IP kommen noch immer massenhaft Anfragen.

[StefanWe 14]

teste es mal...

[Dukel 436]

Was sind das für Anfragen? Wer sendet die Mails an wen? Schonmal die Header einzelner Mails überprüft?

[MiLLHouSe 14]

Es versucht irgendjemand, über meinen Exchange Mails zu verschicken. Ich kann keine Header mehr überprüfen, (Mails gehen nach draußen). Ich habe jetzt die IP-Adresse des Verursachers geblockt und die Warteschlange (20000) gelöscht.

 

@Stefan

Werde ich tun, auf alle Fälle.

[StefanWe 14]

Sie zu, das du den Port 25 zu machst auf deinem ISA. Bzw. das du es getestet bekommst, wie sich dein Exchange von Außen verhält und anschließend den Port 25 zu machst, damit du erstmal nicht mehr zur Spam Schleuder wirst.

 

Das kann sonst auch rechtliche Konsequenzen haben!

[djmaker 95]

Open relay Test:

 

Mail relay testing

[MiLLHouSe 14]

Also ich habe jetzt den Test über telnet gemacht und da wird mir definitiv gesagt, dass ich kein offenes Relay habe.

 

Wie aber kam der S..hund auf meinen Server und konnte rund 25000 Mails verschicken? Der hätte mir den Server komplett lahm gelegt, erst seit ca. 17:40 ist Ruhe und von der IP kommt nix mehr...

 

Ist dann intern was faul, dass einer der Clients "versaut" ist?

[XP-Fan 215]

Hallo,

 

wie sicher sind denn die Passwörter der Benutzer ?

Off-Topic:

 

Hatte auch schon gesehen info@firma . de mit Passwort info

[MiLLHouSe 14]

Hallo,

 

wie sicher sind denn die Passwörter der Benutzer ?

Off-Topic:

 

Hatte auch schon gesehen info@firma . de mit Passwort info

 

Naja, teilweise nicht wirklich sehr sicher, gebe ich zu... Die Richtlinie wurde irgendwann mal ausgesetzt, Entscheidung von oben, da sich viele beschwerten, dass sie sich ständig neue PW ausdenken und merken müssten...

 

Ich wollte das jetzt dann mit dem SBS 2011 wieder einführen und durchsetzen, dass hier wieder mehr drauf geachtet wird, egal, was der Chef dazu sagt.

[Dukel 436]

Wenn du wissen willst was da passiert ist würde ich einen Forensischen Dienstleister suchen oder einen Security Dienstleister, welcher ein Security Audit / Penetrationstest durchführt.

 

EDIT:

[...]

Ich wollte das jetzt dann mit dem SBS 2011 wieder einführen und durchsetzen, dass hier wieder mehr drauf geachtet wird, egal, was der Chef dazu sagt.

 

Ganz ohne Unterstützung von oben würde ich das nicht machen. Dafür hast du jetzt ein Beispiel, warum es wichtig ist nach der Security zu schauen.

[StefanWe 14]

gut das wieder Ruhe ist. ABer ja auch ein Client von Innen kann versucht haben über deinen SBS Mails zu verschicken..

 

Schau dir die Event Logs durch, untersuch die Mail Header.