xtragood 10 Posted August 13, 2004 Report Share Posted August 13, 2004 Guten morgen, Exchange Server eventlog: - eventID: 4006 - source: MSExchangeTransport - Kategorie: Verbindungsmanager - Typ: Warnung - Beschreibung: Fehler bei der Nachrichtenübermittlung an Host '<IP>' während der Übermittlung an die Remotedomäne '<Domäne>' aus folgendem Grund: Die Verbindung wurde vom Remotehost getrennt. - Häufigkeit: 20-30 Mal am Tag Immer dieselbe IP und Domäne...hab bis jetzt keine Lösung im Web gefunden (Google, EventID.net) Weiß da jemand ne Lösung? Quote Link to comment
GuentherH 61 Posted August 13, 2004 Report Share Posted August 13, 2004 Hi. Werden die Mails über einen Smart Host oder DNS versendet. ? Wird eine feste oder dynamische IP verwendet ? Hast du schon versucht über eine Telnet Session eine Mail an diese Domain zu versenden ? LG Günther Quote Link to comment
xtragood 10 Posted August 13, 2004 Author Report Share Posted August 13, 2004 - Was ist ein 'Smart Host' (Begriff noch nie gehört) - Feste IP! - Kurze Vorgehensweise (mail über telnet noch nie gemacht) Quote Link to comment
GuentherH 61 Posted August 13, 2004 Report Share Posted August 13, 2004 Hi. Smart Host ist der SMTP Host des Providers über den du deine E-Mail versenden kannst. telnet ip_remote_domain 25 220 es meldet sich dann der mail server der remote_domain helo name_des_mail_server 250 mail server der remote_domain mail from:user@deine.firma.de 250 originator..... rcpt to:user@remote_domain.de (hier muss ein existierender User verwendet werden) 250 recipient..... data [ENTER] 354 start mail input Text eingeben[ENTER] .[ENTER] 250 message accepted Sollte der Versand über die Telnet Session klappen, liegt der Fehler am Exchange, ansonsten an der Remote Domain (z.B. es werden keine E-Mail angenommen, wenn der FQDN nicht ok ist ect.) LG Günther Quote Link to comment
xtragood 10 Posted August 13, 2004 Author Report Share Posted August 13, 2004 Vielleicht noch ne Info... - Aus unserer Domäne versucht kein User die in der eventID angegebene Domäne zu erreichen, es erscheint lediglich die eventID und ich weiß nicht, woher das kommt... Quote Link to comment
GuentherH 61 Posted August 13, 2004 Report Share Posted August 13, 2004 Hi. Jetzt wird es natürlich interessant :) Ist dieses Domain bekannt, oder einfach irgendeine ? Hast du schon die SMTP Protokollieung aktiviert, damit man den Ansender der ominösen E-Mail erkennen kann ? Ist es möglich, dass ein Arbeitsplatz mit einem Virus verseucht ist ? Quote Link to comment
xtragood 10 Posted August 13, 2004 Author Report Share Posted August 13, 2004 Die Fremddomäne lautet (ich poste das jetzt einfach mal unverschämt): adversite.com und deutet somit auf eine Such-/Link-Maschine SMTP-Protokollierung war auf "mittel"...jetzt auf "max" Virus kann ich ausschließen...jeder Client ist mit VirusScan Enterprise per zentralem AutoUpdate bestückt... Quote Link to comment
GuentherH 61 Posted August 13, 2004 Report Share Posted August 13, 2004 Hi. Also das deutet auf irgendwelche Adware oder so ähnlich hin. Einfach mal das Protokoll beobachten und herausfinden wer da der Übeltäter ist. Würde mich freuen, wenn du uns über das Ergebnis Bescheid gibst. LG Günther Quote Link to comment
xtragood 10 Posted August 13, 2004 Author Report Share Posted August 13, 2004 Das ist kein Ding... Ich beobachte das eventLog schon seit Tagen, da ich den ganzen Einträgen dort nicht traue und paranoid wie ich bin, überall Sicherheitslücken vermute :D :D :D Quote Link to comment
xtragood 10 Posted August 16, 2004 Author Report Share Posted August 16, 2004 Hallo nochmal. Nach weiterer Begutachtung ist mir aufgefallen, daß die IP und Domäne des auftretenden Problems sich im 1-2 tage Rythmus ändert. Leider weiß ich immer noch nicht, woher oder wer diese Anfragen sendet, die dann von den Remotehosts zurückgewiesen werden... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.