379.000 emails in Echangeserver SMTP Warteschlange

[kaiuwejensen 10]

Hallo hab ein Riesen Problem mit einem Exchange Server

 

Der Exchange Server hat in der Warteschlange unter SMTP Connetcor 379.000 emails stehen. Das Problem besteht seit Montag und ich finde keine Lösung

Die emails sind alle von dem gleichen Absender: info@italiantaxrefound.com, den es natürlich nicht in meiner Domäne gibt. Die empfänger der emails sind auch immer die

gleichen. Ich dachte an einen Virus auf einem Client, aber die emails kommen auch wenn ich den Server vom Netz trenne. Wenn ich alle emails in der Warteschlange mühevoll

10000 weise geloscht habe sind sie nach 15 min wieder da.

 

Hab schon mit Etrust den Server gescannt nix. Auch Microsofts AntiSpyware tool ergab kein resultat. Für mich sind auch keine neuen Prozesse am laufen.

 

 

Weiß jemand Rat???

[firefighter 10]

Klingt als hättest du einen offenen Replay konfiguriert und Spammer nutzen ihn kräftig. Suche mal nach open relays und du wirst eine Menge auf dem Board zu diesem Thema finden.

 

Viel Erfolg

[kaiuwejensen 10]

Hab ich mir auch schon gedacht. der Server hat aber keine fixe IP Adresse im Internet. Einwahlverbindung über t-kom bussines ohne feste ip. haben auch kein dyndns am laufen. geht dann das trotzdem mit dem relay?

 

 

Gibt es ein tool, mit dem man die Verbindungen vom Server überwachen kann? also wenn ein Client eine email an den Server schickt diese aufgezeichnet wird mit ip des clients? so könnte ich zumindest auschliessen das irgendwo ein Mailbomber drauf ist.

 

 

Hab noch einen Artikel bei MS gefunden KB886208. MS beschreibt darin den weg die emails im smtp connector zu löschen. hat ca 2 stunden gedauert bis ich 3/4 der emails weg hatte. Zwischendurch ist der Server abgestürzt. Nach einem neustart waren erst alle emails weg. Aber nach ca 1 ner Stunde wieder da?? Der Server war am netz.

 

@ firefighter : Wenn man den Exchangeserver bei SBS 2003 mit dem Assistenten einrichtet sonst nichts mehr manuell verändert, wird dann ein offenes Relay angelegt? leider kann ich erst am Montag wieder an den Server, werde das aber gleich mit dem offenem relay testen.

 

Grüsse Kai

[posterboy 10]

hi,

 

du könntest es mit Netzwerkmonitor probieren und dort einen Filter erstellen, damit du nur den SMTP Verkehr angezeigt bekommst. Vielleicht hilft es dir den Client ausfindig zu machen.

 

viele grüße

posterboy

[bfg9000 10]

@ firefighter : Wenn man den Exchangeserver bei SBS 2003 mit dem Assistenten einrichtet sonst nichts mehr manuell verändert, wird dann ein offenes Relay angelegt?

 

Kurze Antwort: Nein.

 

Gruß,

bfg

[grblzbx 10]

Ein SBS2003? Mit POP Connector? Gleiche Möglichkeit wie in einem ähnlichen Thema gestern abend... (vielleicht hilfts?)

http://support.microsoft.com/?id=835734

[firefighter 10]

Wenn du in so kurzer Zeit so viele E-Mails erhälts würde ich folgende Dinge in Betracht ziehen:

 

1) Ob feste IP oder nicht hat mit der Relayfunktionalität nichts zutun. Du könntest z.B. einen Trojaner o.ä. im Netzwerk habe, der ständig nach Hause telefoniert und Deine aktuelle IP weiterreicht.

2) Du hast ein Tool im Netzwerk das die E-Mails von Innen nach Außen verschickt.

 

Wie dem auch sein - falls du keinen Sniffer auf dem Server hast, würde ich überlegen einen zu installieren (gibts viele Freeware Sniffer). Damit sollte es Dir möglich sein die Quelle zu identifizieren. Wenn es aus dem internen Netz kommt, solltest du den betroffenen Rechner vom Netz trennen und genauer untersuchen. Standardmässig ist SBS2003 kein offenes Relay, aber um ganz sicher zu gehen, kannst du einen open relay test im Netz machen.

[kaiuwejensen 10]

Konnte man bei Exhange 2003 nicht irgendwo einstellen, das der Server von Innen nur emails von bekannten Benutzern annimmt?

[Data1701 10]

Ja,

 

Server -> Protokolle -> SMTP -> Zugriff -> Relay.

 

Da findest Du alles.

 

Dann kannst du ja mal bei http://www.abuse.net/relay.html eine Relaytest machen.

Lass auch mal den Baselineanalyzer für Exchange über den Server fahren.

 

Gruß Data

[kaiuwejensen 10]

Hallo Leute,

 

also sieht ganz gut aus. Habe erst mal wie in KB886208 beschrieben alles fein säuberlich

erledigt. Anstatt die emails mit der Hand zu löschen hab ich einfach ins netz einen Rechner gestellt mit einem KEN! Server drauf. Hab dann den SMTP Connector so umgeleitet, das er die emails an den KEN Server sendet. (Also IP vom KEN Server und ausgehnde Sicherheit einen im KEN angelegten Benutzer) Der Exchangeserver hat dann auch brav alle emails an den KEN geschickt und schwub nach nur 2761 emails statt 379.XXX war dann nach einer aktualisierung die Warteschlange leer. Jetzt kommts: der Kenserver hat dann die emails nicht ans internet schicken wollen sondern wieder zuück an den Client. Natürlich habe ich den POP Connector nicht auf den KEN Server eingesstellt. War wohl tatsächlich eine art LOOP, denn seitdem ist Ruhe. Hab dann alle Updates installiert und nun toi toi toi.

 

Natürlich habe ich auch einen open relay test gemacht / negativ.

 

Ich halt euch auf dem laufenden

[kaiuwejensen 10]

Hallo Leute, ist heute der Tag 2 und läuft noch alles ruhig.

[gogo_sven 10]

also der Tip mit dem KEN-Server ist Gold wert, hatte gestern das gleiche Problem und konnt es mit KEN sehr gut lösen...........

 

Gruß Sven

[bfg9000 10]

Hallo,

 

ein Problem mit dem Exchange-Server lösen, indem man nen KEN-Server ins Netz dazustellt und solange herumprobiert, bis etwas klappt... :suspect:

Ne,ne, ich weiß ja nicht... *kopfschüttel*

 

Gruß,

bfg

[gogo_sven 10]

das ist nicht richtig, man hat gezielt die Emails Weitergeleitet, damit der Exchange die Mails los ist. zudem ist der KEN Server in 5 Min. installiert.

 

Also eine schnelle Problemlösung !!!

 

Besser als 551.000 Mails per Hand zu löschen.........