Ständige Unzustellbarkeitsmeldungen vom Systemadministrator (Verdacht auf Open Relay)

  • Hallo zusammen,


    in letzter Zeit häufen sich die automatischen Meldungen, dass Emails nicht zugestellt werden konnten. Diese Emails werden dann in das Catch-All Konto geroutet welches jetzt fast an die 100 Mails täglich bekommt. Tendenz steigend.


    Der Meldungstext, lautet dann wie folgt:


    <b> Unzustellbar: **Message you sent blocked by our bulk email filter**[Scanned]


    Ihre Nachricht hat einige oder alle Empfänger nicht erreicht.


    Betreff: Order
    Gesendet am: 13.09.2006 07:32


    Folgende Empfänger konnten nicht erreicht werden:


    keplerp@peninsula.wednet.edu am 12.09.2006 14:33
    Sie sind nicht berechtigt, Nachrichten an diesen Empfänger zu senden. Wenden Sie sich an den Systemadministrator.
    < barracuda.peninsula.wednet.edu #5.7.1 smtp; 550 5.7.1 Message content rejected, UBE, id=01386-01-47>


    </b>
    An diese Adresse wurde aber von uns aus niemals was verschickt. Woher kommt dann diese Meldung.



    Desweiteren habe ich in der Ereignisanzeige in letzter Zeit Meldungen in folgender Form.


    <b>
    MSExchangeTransport SMTP-Protokoll 7010


    Dies ist ein Protokoll des SMTP-Protokolls für den virtuellen Server mit ID 1, Verbindung #9. Der Client unter '66.207.65.88' hat einen 'xexch50'-Befehl gesendet, worauf der SMTP-Server mit '504 Need to authenticate first ' geantwortet hat. Der vollständige gesendete Befehl lautete 'xexch50 1072 2'. Hierdurch wird die Verbindung wahrscheinlich fehlschlagen.


    Weitere Informationen erhalten Sie unter http://www.microsoft.com/contentredirect.asp.
    </B>
    Was soll mir diese Fehlermeldung sagen?
    Und wie kann ich solchen Mails entgegenwirken.




    greetings

    • Offizieller Beitrag

    Hallo,


    beim ersten Problem scheint es so zu sein, dass ihr einfach nicht berechtigt seid an diese Adressen zu senden.


    Das ist eine filterregel am Empfängerserver, oder ihr seid auf einer Blacklist, die der Empfängerserver abruft bei der Mailannahme.


    Für das zweite Problem muss ich auch erst recherchieren.


    In der Zwischenzeit kannst Du ja mal den Exbpa downloaden ( http://www.exbpa.com ) installieren und laufen lassen.

  • Setzt Ihr Trend Micro Viruswall oder IMSS ein?


    Und schau mal hier:



    Figure 4: Relaying


    If the Exchange Server allows everyone without authentication to deliver messages, the server is called an Open Relay. Open Relays can be used to send UCE (Unsolicited Commercial E-Mail). By default Exchange Server 200x is not an open relay.

    Gruss
    Marcus

    • Offizieller Beitrag

    Hi,


    die erste meldung ist schon komisch.
    Ich würde eher darauf tippen, dass es sich hierbei um Spam handelt.
    Wenn ich mr den Empfänger so anschaue (keplerp@peninsula.wednet.edu ) denke ich das Ihr da bestimmt nicht hinwollt; oder???



    Für das zweite problem schau mal hier http://support.microsoft.com/n…907-aa8a-f649e0f6f375&p=1


    Ist da was dabei??



    Hier kannst Du deinen Server mal auf Open Relay testen http://www.abuse.net/relay.html

  • Hallo Jürgen!


    Es mag schon sein, dass wir nicht berechtigt sind, an diese Adresse Mails zu verschicken, in unserer Firma schickt aber auch keiner Mails an diese Adressen.


    Es kommen auch ständig Unzustellbarkeitsmeldungen von irgendwelchen Adressen mit der Endung .ru
    und in Russland hat bei uns wirklich keiner was zu suchen....


    Den Exbpa habe ich schon laufen lassen aber der findet wohl keine Ungereimtheiten.


    Ich bekomme zwei Meldungen über RUS und eine Meldung mit XEXCH50 nicht registriert. So Richtig was anfangen kann ich aber leider nicht damit.







    greetings Heiko

  • Hallo Marcus,


    Wir verwenden Sophos Anti-Virus mit Pure Message. Soweit hat auch immer alles gepasst. Ich habe keine Störmeldungen oder Unzustellbarkeitsmeldungen bekommen. Bis nach dem letzten Wochenende.


    Den Server habe ich schon prüfen lassen ob er als Open-Relay dient. Zum Glück hat die Überprüfung ergeben, dass der Server nicht als Open-Relay fungiert.


    Trotzdem bekomme ich immer wieder diese Meldungen.

    • Offizieller Beitrag

    dann könnte ich mir vorstellen, dass jemand evtl. aus Russland versucht mails mit eurer Domäne zu versenden und der Empfänger macht einen Reverse DNS Lookup. Da die Sender IP mit dem MX Eintrag nicht übereinstimmt, wird die Mail abgewiesen und evtl. ein Kopie an Euch gesendet.

  • Und wie kann ich mich davor schützen???


    Im Sophos habe ich jetzt schon eine Regel erstellt, das alles was von .ru kommt gleich in den Papierkorb fliegt.


    Leider bekomme ich aber trotzdem noch genügend Mails. Ich kann doch nicht jede Endung, sei es .edu oder .com vom System in den Papierkorb routen lassen.....