Dirk-HH-83 14 Geschrieben 5. Oktober 2018 Melden Geschrieben 5. Oktober 2018 Hallo, Problem: in der Exchange 2013 Warteschlange sind ca. 50 dieser Einträge (man könnte denken es ist ein OPEN Relay) Handelt es sich hier um ein ernstes Sicherheitsproblem? ein lokaler Spambot ist noch nicht ausgeschlossen Häkchen bei den Transport Connectoren sind noch nicht 100% geprüft OPEN Relay Test sagt jedoch nein Empfang läuft auf MX SMTP Frankys Message Tracking Gui zeigt nur normale Absender+Empfänger in den letzten Tagen/Wochen Würde behaupten es handelt sich um Non-Delievry-Reports die der Exchange generiert / zurückschicken möchte... Lösungsideen: in der Watchguard festlegen das die SMTP Proxy Policy nur vorhandene Mail-To: Empfänger annimmt... (Nr. 2 auf dieser Seite: https://www.boc.de/watchguard-info-portal/2016/06/e-mail-sicherheit-mit-dem-watchguard-smtp-proxy/) In der Warteschlange steht: Spalte Von Adresse: <> Identität: Exchange\60787\147618025963546 Betreff: Unzustellbar: [SPAM] ***SPAM*** He.... Internetnachrichten-ID: <7611f07c-9c71-4953-bb58-e7b8d2d7faa3@Exchange.contoso.local> Von Adresse: <> Status: Bereit Größe (KB): 15 Name der Nachrichtenquelle: DSN Quell-IP: 255.255.255.255 SCL (Spam Confidence Level): -1 Empfangsdatum: 05.10.2018 07:29:52 Ablaufzeit: 06.10.2018 07:29:52 Letzter Fehler: 400 4.4.7 Message delayed Warteschlangen-ID: Exchange\60787 Empfänger: Benwymyt@comcastbusiness.net;2;2;[{LRT=};{LED=400 4.4.7 Message delayed};{FQDN=};{IP=}];0;CN=senden,CN=Connections,CN=Exchange Routing Group (DWBGZMFD01QNBJR),CN=Routing Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=contoso,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=local;0
NorbertFe 2.283 Geschrieben 5. Oktober 2018 Melden Geschrieben 5. Oktober 2018 Steht vor deinem Exchange noch was, was korrekte Empfängerprüfung realisiert? Falls nein, dann hast du dein Problem wahrscheinlich gefunden. Das was du da siehst sind sogenannte Backscatter Spams, welche entstehen, wenn du Mails an unbekannte Empfänger (in deiner Organisation) annimmst und sie dann als NDR an den ebenfalls gefälschten Absender (ein unbeteiligter Dritter) zurückschickst. Kann dir passieren, dass du deswegen auf einer Baackscatter Blacklist landest. Verhindern kannst du das ganz einfach, indem du entweder vor dem Exchange eine Empfängerprüfung vornimmst, einen entsprechenden Spamfilter (bspw. www.vamsoft.com) auf dem Exchange installierst oder den Exchange die Mails aus dem Internet auf einem anders konfigurierten Receiveconnector ankommen läßt. (Meine Empfehlung ist Nr. 2 wenn Nr. 1 nicht existieren sollte). Bye Norbert
gelöscht 0 Geschrieben 5. Oktober 2018 Melden Geschrieben 5. Oktober 2018 Sieht auf den ersten Blick nach Backscatter aus. Habt Ihr keinen Recipient Filter auf oder vor Exchange? ASR
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden