Tagsdigital 10 Geschrieben 21. Juni 2005 Melden Teilen Geschrieben 21. Juni 2005 Hallo zusammen, gestern bekam mein Kunde von einem Partner einen Anruf das er von ihm im 1/4 Stunden Takt Mails bekommt. Diese Mail geht an ca. 300 verschiedene User. Ich habe daraufhin sofort die ausgehenden Mails deaktiviert um zu sehen was sich in der Warteschlange des Exchanges tut. Kurz darauf warten wieder 300 Mails auf das versenden. Ich habe mir die Mails angesehen und komischerweise stammt die Mail nicht aus dieser Domäne. Nach überprüfen der Emails habe ich gesehen das mein Kunde diese Mail selber bekommen hat und diese irgendwie wieder weiterverschickt. Ich habe mal alle Clients auf Viren gecheckt. Jedoch habe ich nur einen Heuristic MakroWord97 gefunden. Kann es sein das dieser Virus sowas anstellt. Oder jemand hat sich via Telnet Zugang verschaftt und nimmt diesen Server zum Spammen her? Auf was tippt ihr Vielen Dank Gruss Tags Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 21. Juni 2005 Melden Teilen Geschrieben 21. Juni 2005 Hört sich nach einem Offenen Relay an! Das kannst du hier gut testen! http://www.abuse.net/relay.html musst nur deinen Eingangsserver angeben und schon laufen die Tests. Ich bin mir fast sicher, dass hier einer Fehlschlägt, so wie du das beschrieben hast. Ich glaube nicht, dass der Virus etwas damit zu tun hat. Zu der Zeit als Makroviren geschrieben wurden dachte man noch nicht so an SPAM. Viel Erfolg beim Suchen! Zitieren Link zu diesem Kommentar
Tagsdigital 10 Geschrieben 21. Juni 2005 Autor Melden Teilen Geschrieben 21. Juni 2005 Relay test 1 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@abuse.net> <<< 250 2.1.0 spamtest@abuse.net....Sender OK >>> RCPT TO:<securitytest@abuse.net> <<< 550 5.7.1 Unable to relay for securitytest@abuse.net Relay test 2 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest> <<< 250 2.1.0 spamtest@kundendomän.de....Sender OK >>> RCPT TO:<securitytest@abuse.net> <<< 550 5.7.1 Unable to relay for securitytest@abuse.net Relay test 3 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<> <<< 250 2.1.0 <>....Sender OK >>> RCPT TO:<securitytest@abuse.net> <<< 550 5.7.1 Unable to relay for securitytest@abuse.net Relay test 4 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@dyndns.org> <<< 250 2.1.0 spamtest@dyndns.org....Sender OK >>> RCPT TO:<securitytest@abuse.net> <<< 550 5.7.1 Unable to relay for securitytest@abuse.net Relay test 5 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@[84.146.146.223]> <<< 250 2.1.0 spamtest@[84.146.146.223]....Sender OK >>> RCPT TO:<securitytest@abuse.net> <<< 550 5.7.1 Unable to relay for securitytest@abuse.net Relay test 6 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@dyndns.org> <<< 250 2.1.0 spamtest@dyndns.org....Sender OK >>> RCPT TO:<securitytest%abuse.net@dyndns.org> <<< 550 5.7.1 Unable to relay for securitytest%abuse.net@dyndns.org Relay test 7 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@dyndns.org> <<< 250 2.1.0 spamtest@dyndns.org....Sender OK >>> RCPT TO:<securitytest%abuse.net@[84.146.146.223]> <<< 550 5.7.1 Unable to relay for securitytest%abuse.net@[84.146.146.223] Relay test 8 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@dyndns.org> <<< 250 2.1.0 spamtest@dyndns.org....Sender OK >>> RCPT TO:<"securitytest@abuse.net"> <<< 250 2.1.5 "securitytest@abuse.net"@kundendomän.de Relay test result Hmmn, at first glance, host appeared to accept a message for relay. THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY. Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not. You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message. hmm eigentlich ist doch alles zu , oder ? Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 21. Juni 2005 Melden Teilen Geschrieben 21. Juni 2005 Hm, also bei mir gibts schon mal 17 Tests. die die letzte Zeile jedes Tests ist 554 < ... >: Relay access denied und Relay test result: All tests performed, no relays accepted. Also scheint bei dir schon was im Argen zu liegen. (noch ein Tip am Rande: Ich würde nicht die IP eines Mailserver hier posten, der Relaygefährdet ist! Zumindest nicht, wenn du es nicht sofort ändern kannst.) Hast du schon mal dran gedacht, einen Linuxrechner mit einem kleinen Postfix o.ä. vorzuschalten und den Exchange nur intern zu betreiben? desweiteren sehe ich dass du ein OWA laufen hast, ist das Absicht? bzw. ist das vernünftig abgesichert? Wenn du dir nicht sicher bist, würde ich mir externe Unterstützung holen. Hab ich auch gemacht. Ist auch gut, weil man manchmal die eigenen Mißstände garnicht mehr sieht.... grüße Michael Zitieren Link zu diesem Kommentar
Tagsdigital 10 Geschrieben 21. Juni 2005 Autor Melden Teilen Geschrieben 21. Juni 2005 Hm, also bei mir gibts schon mal 17 Tests. hmm , wieso werden bei mir noch 8 Tests gemacht ?? wieso denkst du das der OWA nicht sicher ist ? Vielen Dank für deine Unterstützung Gruss Tags Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 21. Juni 2005 Melden Teilen Geschrieben 21. Juni 2005 Ich vermute, dass er bei Test 8 aufhört, weil es da so aussieht als ob der "SPAM" durchgekommen wäre. Test 1-7 ist unable to send, nur Test 8 ist 250 nicht 550. Du müsstest rausbekommen, wo dein Loch ist. Ich bin mir sicher, dass dann der Test ganz abläuft. Ich hab nicht gesagt, dass ich denke dass dein OWA nicht sicher ist, ich habe nur gefragt ob er sicher ist. Ich kenn mich mit dem Hacking zu wenig aus, als dass ich das Beurteilen könnte. Aber man hört ja dass das Outofthebox nicht so super sicher ist. War nur so ein Hinweis. Grüße Michael Zitieren Link zu diesem Kommentar
IceTiger 10 Geschrieben 26. August 2005 Melden Teilen Geschrieben 26. August 2005 Hallo... bei mir liefen auch nur die 8 Tests durch. Ich habe mich dann noch ein wenig bei MiSo eingelesen und der Artikel Artikel-ID : 324958 besagt, dass eine Meldung mit 250 auch i.O. wäre... Gibt es hier mittlerweile noch eine weitere Lösung?? Gruß Anderl Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 26. August 2005 Melden Teilen Geschrieben 26. August 2005 Bei mir liefen 17 tests durch. Relay test result All tests performed, no relays accepted. Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 26. August 2005 Melden Teilen Geschrieben 26. August 2005 Hi der bleibt beim Test acht hängen wenn keine Empfängerprüfung aktiviert ist.... s. auch http://www.msexchangefaq.de/internet/relay.htm Zitieren Link zu diesem Kommentar
IceTiger 10 Geschrieben 26. August 2005 Melden Teilen Geschrieben 26. August 2005 Hallo Götz, azo... und dank für Info (auch an FLARE)... und wie lässt sich dies dann umgehen? oder wäre dies in Deinem Link gestanden? :rolleyes: Gruß Anderl Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 26. August 2005 Melden Teilen Geschrieben 26. August 2005 Hi siehe Abschnitt Erstellen eines Empfängerfilters http://support.microsoft.com/kb/823866/ Das kann aber in grösseren Umgebungen zu Problemen führen, weil ein Kompletter Directory Lookup ausgeführt wird: http://support.microsoft.com/kb/842851/ Zitieren Link zu diesem Kommentar
grblzbx 10 Geschrieben 26. August 2005 Melden Teilen Geschrieben 26. August 2005 Falls es sich um einen SBS2003-Exchange mit POP-Connector handelt (geht aus dem Posting nicht hervor): http://support.microsoft.com/?id=835734 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.