AlexD1979 10 Geschrieben 19. Dezember 2005 Melden Geschrieben 19. Dezember 2005 Hallo, Ein Kollege kam zu mir und zeigte mir eine typische Spam / Virenmail die offentsichtlich über unseren SMTP Server ausgeliefert wurde. Nun sind wir auf der Ursachenforschung und wollen den Weg zurückverfolgen. In seinem Postfach steht nichts unter gesendete Mails, wenn der Virus aber eine eigene SMTP Engine verwendet, muss das auch nicht zwingend im Gesendete Mails auftauchen oder ? Wird in Exchange protokolliert, welche Mail rausgegangen ist und wann ?
Telek 10 Geschrieben 19. Dezember 2005 Melden Geschrieben 19. Dezember 2005 nur weil der jenige der absender ist muss das nicht über euren server gelaufen sein. ich kann die über jeden server dieser welt(so ich den SMTP spreche)e ine email shcicken mit jeder email adresse die ich will. wenn ich will schick ich dir zum beispiel eine von der bundeskanzlerin oder von Putin und merkst es nicht. das ist ja das trügeische bei Viren die machen was sie wollen
AlexD1979 10 Geschrieben 19. Dezember 2005 Autor Melden Geschrieben 19. Dezember 2005 Also es kam so eine MAil bei dem Kollegen an (ich habe es etwas anonymisiert ...) Wie kann ich nun rausfinden ob die über unseren Exchange gelaufen ist oder definitiv nicht zeus.xyz.de ist unser interner Exchange Server und mmuster@xyz.de die interne E-Mailadresse? ------ Weitergeleitete Nachricht Von: Systemadministrator <postmaster@xyz.de> Datum: Sat, 17 Dec 2005 12:00:33 +0100 An: Max Muster <mmuster@xyz.de> Unterhaltung: Drunken babe in pantyhose Betreff: Unzustellbar:Drunken babe in pantyhose Your message To: karlklammer@charter.net Subject: Drunken babe in pantyhose Sent: Sat, 17 Dec 2005 11:56:48 +0100 did not reach the following recipient(s): karlklammer@charter.net on Sat, 17 Dec 2005 11:56:48 +0100 Die Nachricht konnte nicht übermittelt werden, weil das Postfach des Empfängers voll ist. < mtai04.charter.net #4.2.2> -------------------------------------------------------------------------------- Reporting-MTA: dns; zeus.xyz.de Final-Recipient: RFC822; karlklammer@charter.net Action: failed Status: 4.2.2 X-Supplementary-Info: < mtai04.charter.net #4.2.2> X-Display-Name: karlklammer@charter.net
Telek 10 Geschrieben 19. Dezember 2005 Melden Geschrieben 19. Dezember 2005 pass auf ganz einfach. Kurze Viren erklärung also Virus "SYX" befällt Computer A. Auf PC A hat benutzer B im Adressbuch die adresse karlklammer@charter.net und mmuster@xyz.de . Ok so weit so einfach der Virus will sich verteilen. um nicht soschnell aufzufallen täuscht er immer andern absender vor. also nimmer er mmuster@xyz.de als Absender und schickt damit sich selbst weiter an karlklammer@charter.net und jedemenge andere. Da natürlich der MAilserver von charter.net nicht weiss das die email garnicht von euch kommt schickt er fehlermeldung natürlich an euch und nicht an den virenverseuchten PC. Ich hoffe Du verstehst mein geschreibsel :-)
dippas 10 Geschrieben 19. Dezember 2005 Melden Geschrieben 19. Dezember 2005 Zur Exchangefrage: Stichwort Nachrichtentracking Zur Frage, ob die Mail eurer System verlassen hat: kompletten Mailheader der E-Mail beim Empfänger analysieren. Ansonsten ist es schon so, wie Telek es schreibt: Man kann ohne großen Aufwand eine Absenderadresse fälschen. Willst Du mal ne Mail von Putin bekommen? ;) grüße dippas
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden