Exchange 2003 gehackt?

[MiLLHouSe 14]

Hallo,

 

gerade habe ich folgendes in unserer Warteschlange des Exchange-Servers gefunden:

 

http://www.stroehl.com/images/arbeit/exchange.jpg

 

 

Da sind ewig viele Objekte drin, z.B. aol.com mit über 6000 Nachrichten.

 

Kann es sein, dass unser Server hier als Spam-Server verwendet wird? Oder was ist das?

 

Und vor allem: Wie bekomme ich es wieder hin, dass dieser sch... da verschwindet?

 

Oder liegt das evtl. daran, dass der Exchange versucht, gefakte Mails zu beantworten? Wir erhalten recht viele Mails mit Viren und Spam... und dadurch, dass es gefakte Absender sind, kann er nicht kommunizieren?!?

 

Ich hab da echt ne schreckliche Befürchtung... Hoffe auf rasche Rückmeldung eurerseits...

 

GreetZ

 

MiLLHouSe

[ITMike 10]

Mir scheint eher das du die Mails per DNS versendest und nicht über einen offiziellen Provider. Dadurch werden Mails die an @t-online, @aol und noch weitere bestimmte Domänen gesendet werden nicht zugestellt. Problem ist das diese Provider die Mails nicht annehmen.

 

Lösungen dazu findest du hier ->

 

 

Gruss

 

Mike

 

 

 

EDIT: Ups hab den Link vergessen :) -> http://www.mesoproducts.de/techtalk/exchange2000/cm_whitepapers/documents/ex2l-aol/ex2k_versand_t-online_aol.htm

[MiLLHouSe 14]

Naja, also ich weiß nicht...

 

Kein Mensch bei uns versendet Mails an solch komische Provider! Das weiß ich sicher... Und so groß sind wir nun auch nicht, dass eine solche Masse zusammenkommt. Vor allem sind viele Mails dabei, die mit s e x zu tun haben. hier ein beispiel von einer adresse, an die was geschickt werden sollte:

 

"Arlene Ko"<mercybovines@mindspring.com>

Umschlagempfänger:

SMTP:darknight2706@aol.com;

 

außerdem können Mails an provider wie t-online usw. verschickt werden, damit haben wir fast täglich zu tun und noch nie probleme gehabt.

 

 

und so zieht sich das komplett durch.

[ITMike 10]

Ach so ich hab nur das Blau Markierte gelesen. Dort sind einige Mails in der Warteschlange und werden nicht zugestellt. Das deutet auf das Problem hin.

 

 

Du meinst die Zustellung von Mails an zB Andalusien-Horse (wie ich da grade lese :D )

 

Darüber hab ich gelesen. Muss aber erst schaeun was das genau war. Hatte meine ich was mit dem Relay zu tun der deaktiviert werden sollte um zu verhindern das man als Spamserver missbraucht wird.

[MiLLHouSe 14]

ne sorry, ich meinte die komplette liste... sind immerhin rund 950 falsche warteschlangen drin, die da nix verloren haben!

[ITMike 10]

Geh mal in die Exchange Hilfe und suche nach diesen Worten ->

 

Festlegen von Relayeinschränkungen auf einem virtuellen Server

 

 

 

 

 

Das sollte die Lösung sein.

 

 

Gruss

 

Mike

 

PS: die Sache mit dem AOL solltest du aber auch prüfen das könnte das Problem sein was ich erst beschrieben hatte.

[frauke 10]

Hallo MiLLHouSe,

 

guck mal in den Eigenschaften Deines virtuellen SMTP-Servers. In der Registerkarte "Zugriff" gibt es dort den Punkt "Relay". Dort würde ich den Zugriff einschränken auf die Computer Eurer Domäne.

 

Viel Glück,

Frauke

[004 10]

@MiLLHouSe

 

Das kommt mir bekannt vor...

 

Benutzt Ihr einen POP3-Connector?

Falls ja, kann es sein, dass euer Exchange die SPAM-Mails weiterversendet.

 

Dann nützt es auch nichts, wenn Du Einstellungen am Relay machst. Das ist ein Bug zwischen POP3-Connector und SMTP-Server.

[MiLLHouSe 14]

nein, kein POP3-Connector, wir haben einen MX-Eintrag...

[004 10]

Dann mach doch mal auf http://www.abuse.net/relay.html einen OPEN-Relay-Test...

 

Was mich allerdings stutzig macht, ist die Tatsache, daß der Exchange die Mails wohl generell nicht los bekommt, das steht fast alles auf "Wiederholen" - Funktionieren die Geschäftsmails noch?

Was sagt das Ereignisprotokoll?

 

Oder mach einen "Spam database lookup" unter http://www.dnsstuff.com/

 

Grüße,

004

[MiLLHouSe 14]

hmm... scheint i.O. zu sein:

Relay test result

Hmmn, at first glance, host appeared to accept a message for relay.

THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.

 

Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not.

 

You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message

[MiLLHouSe 14]

Was ist denn, wenn ich auf meinem virtuellen Standardserver unter "Aktuelle Sitzungen" eine Benutzer hatte, der eine IP mit 200.xxx.xxx.xxx hatte?

 

Schon komisch irgendwie!

[MiLLHouSe 14]

Da war wieder einer auf dem Server.. Benutzer cosmic...

 

http://www.stroehl.com/images/arbeit/tracert.jpg

 

 

dat ganze ging nach london usw.

 

werden wir womöglich wirklich für so sch... spamversandt benutzt?

[ITMike 10]

Hast du denn jetzt den Relay deaktiviert oder nicht?

[MiLLHouSe 14]

ich habe jetzt folgendes gemacht...

 

standardmäßig war eingstellt, dass nur die computer aus der liste verschicken dürfen...

 

da stand dann der exchange drin, dann localhost (als ip) und die ip-adresse vom internet...

 

ich habe jetzt noch die domäne eingetragen und den haken

 

"jedem computer, der erfolgreich authentifiziert ist, unabhängig von der liste oben relay erlauben"

 

entfernt.

 

aber er verschickt noch immer fleißig oder versucht es zumindest.