warteschlange (internes relay?)

1. offizieller Beitrag

    hallo,


    unser exchange03 ist so konfiguriert dass er über einen smarthost die mails versendet. seit ein paar wochen ist unsere warteschlange immer wieder überladen.


    ich habe schon die open-relay tests gemacht und auch unseren provider gebeten zu schauen ob der server dicht ist - laut der tests ist alles in ordnung.


    ich tippe demnach auf einen internen spamer, wahrscheinlich irgendeine software die auf einem verseuchten pc installiert wurde.alle mails werden an admin@desjardins.com geschickt, das dürfte irgendeine online bank sein.


    die frage wäre nun wie ich feststellen kann von welchem pc diese mails verschickt wurden, ist das vielleicht irgendwo ersichtlich?


    schöne grüße aus wien,
    rene

    -----------------------------------------------------------
    Gruss Renè

    • Offizieller Beitrag

    Hallo,


    wenn die Mails wirklich von intern kommen, dann dürften sie vermutlich nicht über Outlook, sondern über irgend einen Trojaner eingeliefert werden, der per SMTP kommt.


    Dann würde ich zuerst mal das SMTP-Logging einschalten und überwachen:
    http://www.msexchange.org/tuto…ing_the_SMTP_Service.html


    Außerdem solltest Du Dir mal die Relay-Einstellungen ansehen:
    http://www.msxfaq.de/internet/relay2000.htm


    Ich meine speziell die Bereiche "Zugriffskontrolle" und "Relayeinschränkungen".


    Helfen kann auch die Nachrichtenverfolgung:
    http://www.msexchange.org/tuto…age-Tracking-Logging.html

    Grüße aus Berlin schickt Robert

    hallo robert,


    danke für deine antwort.


    leider besteht das problem nach wie vor, ich habe alle punkte von dir durchgemacht und die relayeinstellungen dürften eigentlich passen.


    ich bin mir allerdings nicht mehr ganz sicher ob es sich um einen internen trojaner handelt. da ich beim virtuellen Standardserver unter aktuelle Sitzungen (siehe screenshot) einige user mit komischen ip adressen habe.


    genauso auch im smtp log, lauter user mit 82.er oder 200.er IPs.


    die einstellungen am virtuellen smtp - relay waren so eingestellt dass der server sbs selbst (10.0.0.1 und 127.0.0.1) relayen darf. ich habe jetzt mal diese ips rausgeschmissen da es ja laut der howto http://www.msexchange.org/tuto…ing_the_SMTP_Service.html nicht notwendig ist. (einstellungen vorher und nachher siehe screenshot).


    im grunde schicken wir nur von einer domain mails, gibt es nicht irgend eine möglichkeit radikal alles zu sperren und nur mails von unserer domain ausgehend zuzulassen?


    mitlerweile ist das problem schon sehr akut da uns der provider bereits eine frist zur beseitigung des fehlers gelegt hat... :(




    -----------------------------------------------------------
    Gruss Renè

    ich habe nun noch den relay test von abuse durchgemacht. das ergebnis war "all tests performed, no relays accepted".


    meine warteschlange wird jedoch noch immer länger und länger, es wird also scheinbar noch immer versendet.


    ich komme jedoch nicht dahinger wo die mails herkommen, intern, extern - bzw wo von intern?

    -----------------------------------------------------------
    Gruss Renè