Unbekannter Absender??

Ecki · 12. Juni 2006

Hallo,

nachdem ich letzte Woche anch beenden meiner Abschlussprüfung nicht mehr bei meinem Arbeitgeber eingestellt bin rief er mich heute an mit der bitte ihm zu helfen.

Es ist eine Mail an alle verteilerlisten rausgegangen.

Der absender war eine praktikantenkennur problem ist nur aktuell gibt es keine Praktikanten.
Nunja um nur herrauszubekommen wer diese Mail verschickt hat , (inhalt = Persönliche Beleidigung) sagte ich ihm schau doch mal im header nach !!!.

Darauf hin schickte er mir diesen Header.

Zitat

Microsoft Mail Internet Headers Version 2.0
content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: application/ms-tnef;
name="winmail.dat"
Content-Transfer-Encoding: binary
X-MimeOLE: Produced By Microsoft Exchange V6.0.6487.1
Subject: XXX?
Date: Mon, 12 Jun 2006 09:00:33 +0200
Message-ID: <FFA1A1F5028CEC4390FCFC6D47B040A2EA2CEE@eris.XXX.loc>
X-MS-Has-Attach:
X-MS-TNEF-Correlator: <FFA1A1F5028CEC4390FCFC6D47B040A2EA2CEE@eris.XXX.loc>
Thread-Topic: XXX?
Thread-Index: AcaN7eQ6hLjw9bP1Q92oxTCbLkkYyA==
X-Priority: 1
Priority: Urgent
Importance: high
From: "614 Praktikant" <614PRAKT@XXX.de>
To: "VL XXX -alle Verteilerlisten-" <VLXXX-alle@XXX.de>

Alles anzeigen

So wie ich das bisher mitbekommen habe sollte in der Zeile from auch eine IP Adresse o.ä. stehen.

Ich weis jetzt auch nicht ob diese informationen komplett sind ??

Ich wäre euch sehr dankbar wenn ihr mir bei diesem problem helfen könntet.

Oder Alternativ irgendwie herrauszubekommen wann diese Praktikantenkennung wo (ca. 1800 PC´s) angemeldet war.
Die AD datein wurden schon überprüft und scheinbar wurde da nichts gefunden.

Gruss
Ecki
Marc

NobbyausHB · 12. Juni 2006

Hi,

wenn bei dem Exchange das Tracking aktiv ist, kannst du
schon mal nachsehen, wann die Mail erzeugt wurde.

Ist ein Eindringen / Virus auszuschliessen?

Der User muss ja ein Konto im AD haben.
Da kannst du das letzte Login sehen.

Mehr wüsste ich so spontan auch nicht.

Ecki · 12. Juni 2006

Da werd ich mal nachfragen bzgl. tracking .

Im AD wurde schon nachgeschaut da solle nichts sinnvollen drinstehen ??
Ich wa leider noch nicht da sonst würde ich mal nacheschauen.

Danke schomal.

NobbyausHB · 12. Juni 2006

Hi,

habe mal gerade nachgesehen, stimmt das da nichts steht.
Wenn man die Ansicht auf "Erweitert" stellt, sieht man schon mal mehr.

Den zuletzt verwendeten PC usw. kann man soweit ich weiss mit ldap oder Adsiedit finden.

Aber wie, kann ich auch nicht sagen - vielleicht Heinz oder Jürgen?

Jürgen · 12. Juni 2006

Hallo,

reine spekulation aber versuch doch mal von irgendeiner Machine im DOS Modul

einen telnet <exchangeserver> 25

dann folgendes:

ehlo > Enter
rcpt to: <empfänger Adresse>
mail from: <Praktikanten Adresse>
data > enter
Testmail > enter
. > Enter

kommt die Mail an?

Wenn ja, kann es auch sein, dass jemand über diesen Weg die Mail gesendet hat.

Aber wie schon erwähnt, wenn das Message Tracking aktiviert ist, nach der Mail suchen und versuchen die IP des Rechners herauszubekommen.

Ecki · 12. Juni 2006

oookay..

cheffe anrufen... moment

also tracking ist ausgeschaltet (wir sind eine Kommune)

und Telnet funzt net. (sagte er mir)
Naja die suchen weiter und ich auch

danke schomal.

Jürgen · 12. Juni 2006

sagen die das nur oder funktioniert das tatsächlich nicht?

Habe schon sehr viel erlebt. Da glaub ich erst etwas wenn ich es selber gesehen habe.

BitFlip · 13. Juni 2006

Zitat

Im AD wurde schon nachgeschaut da solle nichts sinnvollen drinstehen ??
Ich wa leider noch nicht da sonst würde ich mal nacheschauen.

Danke schomal.

Sofern auf den DCs der Domäne Anmelde- und Abmeldeereignisse überwacht werden, werden diese dann im Sicherheits-Ereignisprotokoll der DCs gespeichert. Falls dies der Fall ist, sollte die Ansicht des Sicherheitsprotokolls nach Benutzern sortiert werden [Spalte "Benutzer"]. Dann das Benutzerobjekt im passenden Zeitraum lokalisieren und nach Ereignis-ID 528 schauen. Darin wird neben dem Anmeldekonto auch das Computerkonto aufgeführt, von dem aus die Anmeldung durchgeführt worden ist.

BTW - Ihr seid nicht zufällig Kunde meiner Firma und ich habe nicht zufällig gestern mit einem deiner Kollegen [Herr Pa***en] telefoniert? Dem habe ich das Gleiche gesagt.
Die Logfiles der DCs waren jedenfalls unterschiedlich konfiguriert und das entscheidende Anmeldeereignis wurde nicht gefunden.
Die Ereignisprotokolleinstellungen werden am besten über die Default Domain Controllers Policy verbindlich für alle DCs konfiguriert. Das Sicherheitsprotokoll auf DCs sollte 10MB oder grösser sein. Das Überschreiben sollte auf "bedarfsweise" oder "gar nicht" konfiguriert sein. Im Falle der letzten Option geht man sicher, dass keine Sicherheitsereignisse nicht protokolliert werden. Dies kann jedoch dazu führen, dass an einem DC mit vollem Log solange keine Anmeldungen mehr durchgeführt werden können, bis das Log manuell gesichert und dann geleert worden ist.

Unbekannter Absender??

Teilen

Benutzer online in diesem Thema