Jump to content

Exchange 2016 Server ist bei Sorbs, SpamRL und Truncate "blacklisted"


Dutch_OnE
Go to solution Solved by NorbertFe,

Recommended Posts

Moin,

der obige Stand war heute Nachmittag. 2 SORBS, TRUNCATE und SpamRL. Aktuell scheint er aber nur noch auf einer SORBS Liste zu stehen.

Kurze Frage, wie kann ich am besten prüfen, ob mein Server das Problem ist.

 

Einrichtung:

Exchange 2016, CU19, inklusive Open Relay mit Einschränkung auf ein paar lokale IPs, Server verschickt und empfängt selbst

MSERT hat keine Infektionen festgestellt.

 

https://lutz.donnerhacke.de/Blog/Exchange-als-Spamschleuder-missbraucht

Zitat

Also zuerst mal ins Logverzeichnis des Mailserver, also der Komponente, die die E-Mails tatsächlich entgegen nimmt und dann verschickt.



C:\> cd C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive

Dort finden sich Dateien der Form RECVyyyymmdd-ss.LOG. In denen steht, wie die Mailserver zu seinen E-Mails gekommen ist. Findet sich dort nichts auffälliges, schaut man nebenan im SmtpSend Folder nach, ob überhaupt vom Exchange gesendet wurde.

 

Im SMTP Receive standen tatsächlich Einträge, allerdings aus 2020. Diese habe ich entfernt. Ich nutze das Open Relay um über Powershell mit send-mailmessage mir Statusmails zu schicken. Wenn ich diese ausführe, sehe ich allerdings auch nichts in diesem Log. Auch das Backup Programm erzeugt keine Einträge.

 

Im Mail Queue sehe ich viele NDRs an unbekannte Empfänger / Domains. Diese scheint aber auch nicht auf SPAM hinzudeuten.

 

Hiermit kann ich zwar einiges sehen, aber da einige Anwender OWA, Smartphone und Outlook Anywhere nutzen, kann ich hier wohl auch nicht wirklich eingrenzen.

Get-MessageTrackingLog |fl MessageSubject,Sender,Recipients,Timestamp,OriginalClientIp,ClientHostname

Der nächste Schritt wäre die Firewall und Port 25 für die Clients noch dicht zu machen.

 

Hat jemand eine Idee, wie ich typisches Spamverhalten feststellen kann?

 

Kann man grundsätzlich sagen, dass wenn die IP, in der mein Mailserver steht, blacklisted ist, mein Mailserver der Grund dafür ist, oder können Clients auch selbstständig über SMTP an meinem Server vorbei Spams verschicken?

 

Gruß DO

 

 

 

 

Link to post
vor 12 Minuten schrieb Dutch_OnE:

Im Mail Queue sehe ich viele NDRs an unbekannte Empfänger / Domains.

Hier hast Du Deine "Spamschleuder". Dies nennt sich Backscatter (Wiki Definition). Um das zu verhindern, sollte Dein MTA bereits  bei der Einlieferung (SMTP Dialog) Emails an nicht vorhandene Mail-Adressen (Postfächer) mit einer Fehlermeldung abweisen. Wenn Du keinen MTA hast, dann Deinen Spamfilter auf Exchange entsprechend konfigurieren. Auch Exchange kann diese Aufgabe über einen Agenten übernehmen. Allerdings sollte hierzu ein Server mit der Exchange Edge Transport Role vorgeschaltet werden. Es wird nicht empfohlen, direkt auf dem Exchange Server diese Agents zu installieren -> MS Anleitung zum Spamschutz; Exchange Empfängerfilterung

  • Like 1
Link to post

Wenn er keinen vorgelagerten Edge hat, sollte er den recipient Filter auch nicht aktivieren, denn der hat Fehler.

 

https://docs.microsoft.com/de-de/exchange/antispam-and-antimalware/antispam-protection/antispam-on-mailbox-servers?view=exchserver-2019


 

Zitat

Although the Recipient Filter agent is available on Mailbox servers, you shouldn't configure it. When recipient filtering on a Mailbox server detects one invalid or blocked recipient in a message that contains other valid recipients, the message is rejected. The Recipient Filter agent is enabled when you install the antispam agents on a Mailbox server, but it isn't configured to block any recipients.


falls also nur der Exchange da sein sollte, dann www.Vamsoft.com (wenn’s einen Edge gibt, dann trotzdem) ;)

Link to post

Guten Morgen, ich habe einen Exchange mit allen benötigten Rollen auf einem Server laufen. Davor ist ein Anti-Viren Lösung von F-Secure installiert. Was mich aber wundert ist, dass die meisten der Mails garnicht rausgehen, weil die Adressen ja ungültig sind. Spam Mails kommen rein und NDRs können aber nicht raus. Zumindestens was ich sehe, aber gut ich lese mich mit dem Thema mal ein.

Was mich eigentlich noch mehr interessiert, wo ist der wirtschaftliche Vorteil, also warum macht man sowas, oder ist das einfach nur ein Nebeneffekt eines Spam-Angriffs

Link to post

Was aber passiert, wenn ein Empfänger z.B. Mueller@domain.de heißt, in der Mail an mueller@domain.de aber ein Schreibfehler ist (muelle@domain.de), bekommt der Absender bei einer Empfängerfilterung aber keine Benachrichtigung mehr. Wie ist denn da die rechtliche Sache?

 

Wie wird denn von den Blacklists bestimmt, ob der Server da rauf kommt oder nicht? Da muss es ja Richtwerte geben oder?

 

 

 

 

Link to post
  • Solution
Gerade eben schrieb Dutch_OnE:

Was aber passiert, wenn ein Empfänger z.B. Mueller@domain.de heißt, in der Mail an mueller@domain.de aber ein Schreibfehler ist (muelle@domain.de), bekommt der Absender bei einer Empfängerfilterung aber keine Benachrichtigung mehr. Wie ist denn da die rechtliche Sache?

 

Der ABSENDERSERVER ist dann zuständig, weil du die Mail ja NICHT angenommen hast. Also muss der der die Mail nicht losgeworden ist den NDR generieren. Das ist super hinsichtlich Spam und rechtlich, weil du die Mail gar nicht erst angenommen hast. Wundert mich immer, dass solche absoluten Grundlagen und Selbstverständlichkeiten immer noch im Jahr 2021 angefragt werden. ;)

 

vor 2 Minuten schrieb Dutch_OnE:

Wie wird denn von den Blacklists bestimmt, ob der Server da rauf kommt oder nicht? Da muss es ja Richtwerte geben oder?

 

Blacklists sind Sache der Blacklistbetreiber und die haben dann üblicherweise auch die Rahmenbedingungen für Listing und De-Listing auf ihren Seiten stehen.

 

Bye

Norbert

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...