h-d.neuenfeldt 21 Geschrieben 25. Juni 2012 Melden Teilen Geschrieben 25. Juni 2012 Ich möchte gerne wissen, in welchem Protokoll ich NACHDEM ein Client den Exchange mit Viren vollgeworfen hat nachgucken, welche Maschine das war. Achtung : Im Standard MAIL.LOG wird nur der Inhalt der Mail ausgewertet. Was aber bei gefakten Daten nutzlos ist. Ich suche also nach einem Protokoll auf Exchange Basis .... Version Exchange 6.5 Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 25. Juni 2012 Melden Teilen Geschrieben 25. Juni 2012 Moin, das musst Du ein wenig genauer beschreiben. Welche Client? Welches Übertragungsprotokoll? Exchange 2003 schreibt SMTP-Logs nur, wenn man sie vorher aktiviert hat. Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 25. Juni 2012 Autor Melden Teilen Geschrieben 25. Juni 2012 Meine Clients sind alle Outlook 2003 ... Protokoll dürfte daher MAPI sein ... Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 25. Juni 2012 Melden Teilen Geschrieben 25. Juni 2012 Aus dem Kopf (Ex 2003 ist schon eine weile her) würde ich sagen, da gibt es kein Protokoll, das das aufzeichnet. Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 25. Juni 2012 Autor Melden Teilen Geschrieben 25. Juni 2012 (bearbeitet) Das wäre ziemlich ärgerlich, da der Arbeitsplatz den Exchange in kürzester Zeit mit 20000-25000 Mails a ca 25kB flutet und danach für ca 24 Stunden still ist .... Ich hab auch keine Lust ständig die Spamlisten abzuklappern und uns von den Listen löschen zu lassen Gibt es keinen Ansatz ?? bearbeitet 25. Juni 2012 von h-d.neuenfeldt RS + Formulierung Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 25. Juni 2012 Melden Teilen Geschrieben 25. Juni 2012 Moin, wie wäre es mit Virenscanner auf den Clients? ;) Viren, die über Outlook/MAPI Mails verschicken, sind eher unüblich und ab Outlook 2007 (eventuell auch Ol 2003) wird der User auch dick gewarnt mit 10 Sekunden Wartefrist, wenn eine Drittanwendung im Namen des Benutzer Outlook zum Senden nutzen will. Da sind 20.000 Mails fast unmöglich. Also gehe ich eher davon aus, dass Du ein offenes, internes Relay hast -> dichtmachen. Alternativ sendet ein verseuchter PC direkt per SMTP ins Internet -> Firewall zu machen. Und dann gibt es natürlich noch das Message Tracking in der EMS. Da musst Du zwar wissen, wonach Du suchen willst, aber wenn Du einen Ansatz hast, kannst Du sehr schnell damit den Beweis erbringen. Du könntest auch Mapi für die Clients deaktivieren und nach und nach wieder einschalten (Explaining the new MAPI Access feature included in Exchange Server 2003 Service Pack 2). Eventuell findest Du auch eine passende Einstellung im Diagnose Protokoll: Exchange 2000 Diagnostics Logging Auch der Exchange Server User Monitor könnte bei der Suche helfen: Download: Microsoft Exchange Server User Monitor - Microsoft Download Center - Download Details Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 26. Juni 2012 Autor Melden Teilen Geschrieben 26. Juni 2012 > wie wäre es mit Virenscanner auf den Clients? Hab ich doch, aber es scheint ein anderes Phänomen zu sein : per Wireshark hab ich folgendes mitbekommen : No. Time Source Destination Protocol Length Info 84370 898.754087 174.128.251.187 10.0.0.2 SMTP 93 C: MAIL FROM:<mail-noreply@google.co.uk> 84383 898.912904 174.128.251.187 10.0.0.2 SMTP 84 C: RCPT TO:<108@team108.com.sg> 84473 900.457047 174.128.251.187 10.0.0.2 SMTP 97 C: RCPT TO:<10824bn-ol@box.tribuneindia.com> 84489 900.619744 174.128.251.187 10.0.0.2 SMTP 97 C: RCPT TO:<10883bn-ol@box.tribuneindia.com> 84492 900.776438 174.128.251.187 10.0.0.2 SMTP 97 C: RCPT TO:<10959bn-ol@box.tribuneindia.com> 84494 900.973023 174.128.251.187 10.0.0.2 SMTP 91 C: RCPT TO:<10pinbowlevard@wanadoo.fr> 84499 901.130395 174.128.251.187 10.0.0.2 SMTP 97 C: RCPT TO:<11000bn-ol@box.tribuneindia.com> 84507 901.287858 174.128.251.187 10.0.0.2 SMTP 87 C: RCPT TO:<110281@worldonline.dk> 84533 901.461850 174.128.251.187 10.0.0.2 SMTP 90 C: RCPT TO:<114101.1656474@ultime.fr> (und weitere ähnliche Zeilen) und das schlimme daran ist, dass mein Exchange nun versucht diese Mails zuzustellen .... Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 30. Juni 2012 Autor Melden Teilen Geschrieben 30. Juni 2012 wie wäre es mit Virenscanner auf den Clients? Ist doch vorhanden ... ich habe allerdings mittlerweile festegestellt, daß mein Exchange wohl "relayed" .. OBWOHL es nicht eingestellt ist ... Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 30. Juni 2012 Autor Melden Teilen Geschrieben 30. Juni 2012 btw. ich habe vor Tagen bereits eine Antwort geschrieben, die mit den Auswertungen von Wireshark versehen war. Wieso wird diese Anwort hier nicht gezeigt ? Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 1. Juli 2012 Autor Melden Teilen Geschrieben 1. Juli 2012 hab es gefunden, wireshark sei Dank ... Im Exchange war eingestellt, daß "Authentifizierte Benutzer" relayen dürfen. Dem Angreifer war unsere Benutzerliste bekannt und zu eingen Konten auch das Passwort ...... "Authentifizierte Benutzer" dürfen nun erst mal nicht mehr relayen .... Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 1. Juli 2012 Melden Teilen Geschrieben 1. Juli 2012 Ich hätte ja auch mal die kennworte zurückgesetzt. Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 2. Juli 2012 Autor Melden Teilen Geschrieben 2. Juli 2012 Ich hätte ja auch mal die kennworte zurückgesetzt. das kommt heute, aber erst muss ich den Benutzern ja mal die neuen Regeln mitteilen .. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.