AlexD1979 10 Posted December 19, 2005 Report Share Posted December 19, 2005 Hallo, Ein Kollege kam zu mir und zeigte mir eine typische Spam / Virenmail die offentsichtlich über unseren SMTP Server ausgeliefert wurde. Nun sind wir auf der Ursachenforschung und wollen den Weg zurückverfolgen. In seinem Postfach steht nichts unter gesendete Mails, wenn der Virus aber eine eigene SMTP Engine verwendet, muss das auch nicht zwingend im Gesendete Mails auftauchen oder ? Wird in Exchange protokolliert, welche Mail rausgegangen ist und wann ? Quote Link to comment
Telek 10 Posted December 19, 2005 Report Share Posted December 19, 2005 nur weil der jenige der absender ist muss das nicht über euren server gelaufen sein. ich kann die über jeden server dieser welt(so ich den SMTP spreche)e ine email shcicken mit jeder email adresse die ich will. wenn ich will schick ich dir zum beispiel eine von der bundeskanzlerin oder von Putin und merkst es nicht. das ist ja das trügeische bei Viren die machen was sie wollen Quote Link to comment
AlexD1979 10 Posted December 19, 2005 Author Report Share Posted December 19, 2005 Also es kam so eine MAil bei dem Kollegen an (ich habe es etwas anonymisiert ...) Wie kann ich nun rausfinden ob die über unseren Exchange gelaufen ist oder definitiv nicht zeus.xyz.de ist unser interner Exchange Server und mmuster@xyz.de die interne E-Mailadresse? ------ Weitergeleitete Nachricht Von: Systemadministrator <postmaster@xyz.de> Datum: Sat, 17 Dec 2005 12:00:33 +0100 An: Max Muster <mmuster@xyz.de> Unterhaltung: Drunken babe in pantyhose Betreff: Unzustellbar:Drunken babe in pantyhose Your message To: karlklammer@charter.net Subject: Drunken babe in pantyhose Sent: Sat, 17 Dec 2005 11:56:48 +0100 did not reach the following recipient(s): karlklammer@charter.net on Sat, 17 Dec 2005 11:56:48 +0100 Die Nachricht konnte nicht übermittelt werden, weil das Postfach des Empfängers voll ist. < mtai04.charter.net #4.2.2> -------------------------------------------------------------------------------- Reporting-MTA: dns; zeus.xyz.de Final-Recipient: RFC822; karlklammer@charter.net Action: failed Status: 4.2.2 X-Supplementary-Info: < mtai04.charter.net #4.2.2> X-Display-Name: karlklammer@charter.net Quote Link to comment
Telek 10 Posted December 19, 2005 Report Share Posted December 19, 2005 pass auf ganz einfach. Kurze Viren erklärung also Virus "SYX" befällt Computer A. Auf PC A hat benutzer B im Adressbuch die adresse karlklammer@charter.net und mmuster@xyz.de . Ok so weit so einfach der Virus will sich verteilen. um nicht soschnell aufzufallen täuscht er immer andern absender vor. also nimmer er mmuster@xyz.de als Absender und schickt damit sich selbst weiter an karlklammer@charter.net und jedemenge andere. Da natürlich der MAilserver von charter.net nicht weiss das die email garnicht von euch kommt schickt er fehlermeldung natürlich an euch und nicht an den virenverseuchten PC. Ich hoffe Du verstehst mein geschreibsel :-) Quote Link to comment
dippas 10 Posted December 19, 2005 Report Share Posted December 19, 2005 Zur Exchangefrage: Stichwort Nachrichtentracking Zur Frage, ob die Mail eurer System verlassen hat: kompletten Mailheader der E-Mail beim Empfänger analysieren. Ansonsten ist es schon so, wie Telek es schreibt: Man kann ohne großen Aufwand eine Absenderadresse fälschen. Willst Du mal ne Mail von Putin bekommen? ;) grüße dippas Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.