Back2Live 10 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 (bearbeitet) Hallo, scheinbar wurden über meinen Exchange Server Spam Mails versandt, aber nur 2 :-) Zum Senden verwende ich einen Linux Postfix. Welcher per VPN mit dem Exchange verbunden ist. Bemerkt hab ich es Heute da eine Spam Mail nicht zustellbar war, und ich einen Fehler erhalten habe. Auf dem Postfix habe ich im Log das gefunden: Feb 9 10:36:13 linuxpost postfix/smtpd[3158]: connect from exchangeserver.domain.local[192.168.178.50] Feb 9 10:36:13 linuxpost postfix/smtpd[3158]: Anonymous TLS connection established from exchangeserver.domain.local[192.168.178.50]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits) Feb 9 10:36:13 linuxpost postfix/smtpd[3158]: C6BBC18CD114: client=exchangeserver.domain.local[192.168.178.50] Feb 9 10:36:13 linuxpost postfix/cleanup[3161]: C6BBC18CD114: message-id=<b8b5efe6-b351-40ad-89e5-75215fd80714@exchangeserver.domain.local> Feb 9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: from=<>, size=9519, nrcpt=1 (queue active) Feb 9 10:36:14 linuxpost postfix/smtpd[3158]: disconnect from exchangeserver.domain.local[192.168.178.50] Feb 9 10:36:14 linuxpost postfix/smtp[3162]: C6BBC18CD114: to=<hisbgnbciio@aibling.de>, relay=mail.aibling.de[193.158.216.90]:25, delay=0.75, delays=0.2/0.08/0.09/0.38, dsn=2.0.0, status=sent (250 Requested mail action okay, completed) Feb 9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: removed Feb 9 10:40:43 linuxpost postfix/smtpd[3219]: connect from exchangeserver.domain.local[192.168.178.50] Feb 9 10:40:43 linuxpost postfix/smtpd[3219]: Anonymous TLS connection established from exchangeserver.domain.local[192.168.178.50]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits) Feb 9 10:40:43 linuxpost postfix/smtpd[3219]: E42B918CD114: client=exchangeserver.domain.local[192.168.178.50] Feb 9 10:40:44 linuxpost postfix/cleanup[3222]: E42B918CD114: message-id=<d85a6026-6adb-4292-b529-6fcaa0ad0efa@exchangeserver.domain.local> Feb 9 10:40:44 linuxpost postfix/qmgr[548]: E42B918CD114: from=<>, size=10664, nrcpt=1 (queue active) Feb 9 10:40:44 linuxpost postfix/smtpd[3219]: disconnect from exchangeserver.domain.local[192.168.178.50] Feb 9 10:40:45 linuxpost postfix/smtp[3223]: E42B918CD114: to=<cugeutronler@eutron.it>, relay=cust15480-2.in.mailcontrol.com[85.115.54.190]:25, delay=1.9, delays=0.15/0.01/1.4/0.4, dsn=2.0.0, status=sent (250 2.0.0 v199eieC018252 Message accepted for delivery) Feb 9 10:40:45 linuxpost postfix/qmgr[548]: E42B918CD114: removed und im Exchange SMTP Log: 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,44,192.168.178.50:17813,192.168.178.50:2525,*,,Proxying inbound session with session id 08D44D9EF4E2AA12 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,45,192.168.178.50:17813,192.168.178.50:2525,>,RSET, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,46,192.168.178.50:17813,192.168.178.50:2525,<,250 2.0.0 Resetting, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,47,192.168.178.50:17813,192.168.178.50:2525,>,XPROXYFROM SID=08D44D9EF4E2AA12 IP=192.168.178.101 PORT=27465 DOMAIN=[58.186.190.100] SEQNUM=1 PERMS=1073 AUTHSRC=Anonymous, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,48,192.168.178.50:17813,192.168.178.50:2525,<,250 XProxyFrom accepted, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,49,192.168.178.50:17813,192.168.178.50:2525,*,,sending message with RecordId 1213 and InternetMessageId <003101d282f2$0783d378$de8fa48b$@aibling.de> 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,50,192.168.178.50:17813,192.168.178.50:2525,>,MAIL FROM:<hisbgnbciio@aibling.de> SIZE=0 AUTH=<>, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,51,192.168.178.50:17813,192.168.178.50:2525,>,RCPT TO:<hoffmantalbottykm@meinedomain.de>, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,52,192.168.178.50:17813,192.168.178.50:2525,<,250 2.1.0 Sender OK, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,53,192.168.178.50:17813,192.168.178.50:2525,<,250 2.1.5 Recipient OK, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,54,192.168.178.50:17813,192.168.178.50:2525,>,DATA, 2017-02-09T09:36:13.221Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,55,192.168.178.50:17813,192.168.178.50:2525,<,354 Start mail input; end with <CRLF>.<CRLF>, 2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,56,192.168.178.50:17813,192.168.178.50:2525,<,"250 2.6.0 <003101d282f2$0783d378$de8fa48b$@aibling.de> [InternalId=91555817848855, Hostname=Seexchangeserver.domain.local4900 bytes in 0.096, 49,828 KB/sec Queued mail for delivery", 2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,57,192.168.178.50:17813,192.168.178.50:2525,*,,Wrote to network 4673 bytes read from inbound proxy layer over 108 msecs for nexthopfqdn messageid <003101d282f2$0783d378$de8fa48b$@aibling.de> 2017-02-09T09:36:13.330Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2A9FA,58,192.168.178.50:17813,192.168.178.50:2525,*,,successfully added connection to cache. 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,29,192.168.178.50:18789,192.168.178.50:2525,*,,Proxying inbound session with session id 08D44D9EF4E2AA22 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,30,192.168.178.50:18789,192.168.178.50:2525,>,RSET, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,31,192.168.178.50:18789,192.168.178.50:2525,<,250 2.0.0 Resetting, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,32,192.168.178.50:18789,192.168.178.50:2525,>,XPROXYFROM SID=08D44D9EF4E2AA22 IP=192.168.178.101 PORT=46563 DOMAIN=static.cmcti.vn SEQNUM=1 PERMS=1073 AUTHSRC=Anonymous, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,33,192.168.178.50:18789,192.168.178.50:2525,<,250 XProxyFrom accepted, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,34,192.168.178.50:18789,192.168.178.50:2525,*,,sending message with RecordId 1215 and InternetMessageId <002101d282f3$0181cb15$27372d8d$@eutron.it> 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,35,192.168.178.50:18789,192.168.178.50:2525,>,MAIL FROM:<cugeutronler@eutron.it> SIZE=0 AUTH=<>, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,36,192.168.178.50:18789,192.168.178.50:2525,>,RCPT TO:<thisisjusttestletter@meinedomain.de>, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,37,192.168.178.50:18789,192.168.178.50:2525,<,250 2.1.0 Sender OK, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,38,192.168.178.50:18789,192.168.178.50:2525,<,250 2.1.5 Recipient OK, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,39,192.168.178.50:18789,192.168.178.50:2525,>,DATA, 2017-02-09T09:40:43.490Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,40,192.168.178.50:18789,192.168.178.50:2525,<,354 Start mail input; end with <CRLF>.<CRLF>, 2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,41,192.168.178.50:18789,192.168.178.50:2525,<,"250 2.6.0 <002101d282f3$0181cb15$27372d8d$@eutron.it> [InternalId=91555817848860, Hostname=exchangeserver.domain.local] 5232 bytes in 0.102, 49,747 KB/sec Queued mail for delivery", 2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,42,192.168.178.50:18789,192.168.178.50:2525,*,,Wrote to network 5005 bytes read from inbound proxy layer over 109 msecs for nexthopfqdn messageid <002101d282f3$0181cb15$27372d8d$@eutron.it> 2017-02-09T09:40:43.599Z,Eingehender Proxy: Interner Sendeconnector,08D44D9EF4E2AA19,43,192.168.178.50:18789,192.168.178.50:2525,*,,successfully added connection to cache. Woher ist nun die Mail verschickt worden? Wie kann ich weiteres herausfinden? bearbeitet 9. Februar 2017 von Back2Live
NorbertFe 2.283 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 (bearbeitet) Feb 9 10:36:14 linuxpost postfix/qmgr[548]: C6BBC18CD114: from=<>, size=9519, nrcpt=1 (queue active)Sieht nach "Unzustellbarkeitsnachricht" aus. Also ich würde eher auf Backscatter tippen, als dass dein Exchange spammt. ;) bearbeitet 9. Februar 2017 von NorbertFe
lindi200000 12 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 Dann Schliesse ich mich mal kurz hier mit an, was kann man am besten gegen Backscatter schützen? Wir haben täglich ca. 80 solcher Mails.
NorbertFe 2.283 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 Ich bezog mich in obigem Fall auf Backscatter-Erzeuger, weil man bspw. eine Mail am Postfix angenommen hat für einen Empfänger, den der Exchange nicht zustellen konnte. Falls du fragst, wie man eingehenden Backscatter von anderen Absendern die dir NDR zusenden verhindern kannst, da gibt's nicht soviele "sinnvolle" Möglichkeiten. Ich würd zumindest schonmal dafür sorgen, dass du einen SPF hast, damit kann dann schonmal relativ gut verhindert werden, dass jeder mit deiner Adresse als Absender auftritt. Zumindest bei denen, die darauf filtern. Bye Norbert
Back2Live 10 Geschrieben 9. Februar 2017 Autor Melden Geschrieben 9. Februar 2017 obigem Fall auf Backscatter-Erzeuger, Der Erzeuger war also nicht im meinem Netz oder? Der Internet Traffic landet direkt auf dem Exchange, durchgeroutet, dann hat der Exchange darauf reagiert und über den Postfix gesendet, scheinbar.
NorbertFe 2.283 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 Wer nimmt die Mails aus dem Internet an? Der Exchange? Falls ja, dann solltest du entweder einen eigenen Connector mit dem Recipient Filter konfigurieren, oder einen Filter der das korrekt macht wie bspw. ORF Fusion von vamsoft.com. Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen? Bye Norbert
PowerShellAdmin 169 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 (bearbeitet) Wer nimmt die Mails aus dem Internet an? Der Exchange? Falls ja, dann solltest du entweder einen eigenen Connector mit dem Recipient Filter konfigurieren, oder einen Filter der das korrekt macht wie bspw. ORF Fusion von vamsoft.com. Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen? Bye Norbert Die Empfehlung gebe ich gerne weiter (bin auch dank Norbert draufgekommen). ORF Fusion - nach hin und her endlich auch für den Spamschutz bei uns angeschafft, da mich das gefrickel in Eset nervt. Sehr umfangreich allerdings verständlich einzurichten und das Loging möchte ich nicht mehr missen. Lediglich der Attachmentfilter (leider noch zuviele Einschränkungen um diesen sinnvoll zu nutzen) ist derzeit noch unbrauchbar, aber die Arbeiten an einem überarbeiteten Nachfolger des Moduls welches im QT 3 kommen soll. Der Support ist super, meine Verbesserungswünsche aufgenommen und zu Prüfung weitergereicht, ebenso sind die Kosten und das Lizenzsetup super fair. bearbeitet 9. Februar 2017 von PowerShellAdmin
Back2Live 10 Geschrieben 9. Februar 2017 Autor Melden Geschrieben 9. Februar 2017 (bearbeitet) Nochmal zum Verstehen: Du empfängst direkt auf dem Exchange aus dem Internet, sendest aber über Postfix nach draussen? Ja so ist es, ich wollte das schonmal ändern... Bzw. der Exchange sendet an den Postfix als Smarthost der Postfix liefert dann aus. Gibt es da eine Möglichkeit das mit dem Filter zu lösen? bearbeitet 9. Februar 2017 von Back2Live
NorbertFe 2.283 Geschrieben 9. Februar 2017 Melden Geschrieben 9. Februar 2017 Ja, du darfst eben nur Mails für User annehmen, die dein Exchange auch kennst, ansonsten ist doch klar, dass dein Exchange die NDRs an den Postfix schickt, der sie zum "gefakten" Absender schickt...
Back2Live 10 Geschrieben 10. Februar 2017 Autor Melden Geschrieben 10. Februar 2017 Ja Norbert hat Recht. Es ist eine Backscatter Attacke, zum Selben Zeitpunkt des Versands kommt die NDR beim SMTPReceivelog rein. Vereinzelt so 2-3 Mails sind es pro tag. Versuche jetzt erstmal den Versand zu stoppen, der Postfix darf jetzt nur Mails mit gültigem Absender versenden. Aber wie setze ich deinen Vorschlag um das nur Mails akzeptiert werden welche auch ein passenden Mail-Account in der eigenen Domäne haben? Wenn ich am Empfangs-Connector den Anonymen zugriff verbiete werden gar keine Mails mehr empfangen. Habe es so versucht: https://www.frankysweb.de/exchange-server-mailspoofing-verhindern/ Wie dort aber auch andere schreiben geht danach der Mailempfang gar nicht mehr.
NorbertFe 2.283 Geschrieben 10. Februar 2017 Melden Geschrieben 10. Februar 2017 Das ist aber falsch, weil damit auch keine Abwesenheitsnotiz mehr rausgeht. Sorg dafür, dass dein Posteingang korrekt konfiguriert ist, dann hast du das Problem gar nicht.
Back2Live 10 Geschrieben 10. Februar 2017 Autor Melden Geschrieben 10. Februar 2017 Das würde ich gerne tun aber so wie ich es versucht habe hat es nicht funktioniert.
NorbertFe 2.283 Geschrieben 10. Februar 2017 Melden Geschrieben 10. Februar 2017 Dann hast du es falsch versucht, oder was willst du mitteilen? Soll ich raten, oder verrätst du deine Konfiguration noch? ;)
Back2Live 10 Geschrieben 10. Februar 2017 Autor Melden Geschrieben 10. Februar 2017 Bin mir auch sicher das ichs falsch versucht hab :) Ich habs so versucht wie oben in dem Link. Beim Empfangs connector. Welche Infos werden denn benötigt?
NorbertFe 2.283 Geschrieben 10. Februar 2017 Melden Geschrieben 10. Februar 2017 Du sollst nicht Mailspoofing verhindern, sondern dass dein Exchange Mails annimmt für Adressen, die er nicht hält/kennt. Methode 1: Sinnvoll, preiswert und nachvollziehbar (und noch viel mehr Funktionen als Exchange sie mitbringt): www.vamsoft.com Methode 2: kostenlos, aber irgendwie "doof", und schlecht zu tracken. http://www.msxfaq.de/e2013/e2013recipientfilter.htm Bye Norbert
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden