Trojaner sendet Mails über Exchange!

1. offizieller Beitrag

    Hallo,


    ein Trojaner sendet Mails über unserem Exchange.
    Wir haben eine Back- Frondend Struktur.
    Auf dem Frondend kann ich sniffen das Mails ohne Absender von unserem Frondend über SMTP kommen und dann über unserem Provider gesendet werden .


    Meine Frage ist jetzt welches Protokoll oder "speziellen Port" auf unserem Backend muss ich sniffen wenn ich die Verbindung Client zu Exchange Backend überwachen will! MAPI oder? Darunter bekomme ich aber keine Informationen :-? ??? Ideen???


    Viele Grüsse
    Frank :-? :-? :-? :-?

    • Offizieller Beitrag

    Hallo Frank,


    MAPI verwendet dynamische Ports, da kommst Du also schlecht ran...
    wenn ein Trojaner MAPI als Transportmedium benutzen will, muss er jeweils das lokale Outlook "missbrauchen", was zumindestin aktuellen version ausgeschlossen ist.


    Ich vermute eher, er verwendet SMTP? Am Backendserver sollte SMTP nur offen sein für Deinen Frontendserver. Wie siehts da aus?

    Hallo



    ich habe eine aehnliches problem.


    aus unserem internen netz gehen immer wieder email nach draussen die mir nach spam aussehen( email adresse und betreff) wie kann ich nachschaun von welcher ip diese emails kommen?


    danke simon

    • Offizieller Beitrag

    Hallo Simon,


    wie Nobby schon sagte, erstmal die Clients checken, dass nirgends ein Trojaner drauf ist.


    Ansonsten prüfen, dass anonymous Zugriff für SMTP nur für die eigene Domäne möglich ist (damit Dir aus dem Internet zugestellt werden kann) und aus Deinem LAN niemand per SMTP an Deinen exchange zum Relaying was schicken kann. Z.B. auch die Firewall überprüfen, dass sie von Trustet Port 25 nur vom Exchange-Server (dessen IP) annimmt.

    danke fuer deine antwort.


    ich habe aber keine lust alle clients zu checken.
    kann man nicht an eine email die absender ip rausfinden? dann koennte ich geziehlt vorgehen.


    bb simon

    ok nochmal danke


    dann hab ich ein bisschen arbeite vor mir. weil ueberall ist norman installiert.


    naja kann man nix machen


    bb simon

    • Offizieller Beitrag

    Hi,


    Norman gehört eigentlich zu den besseren Produkten.


    Das Update auf die 5.9 vom 3.5 komplett durchgezogen?


    Hast du bei den Ex das Plug-In installiert?


    Habe selber Norman laufen, bei uns bis jetzt immer alles gefunden!


    Sonst mal in Düsseödorf anrufen.


    ;)

    jo update ist drauf . ich muss wegen ner andern sache eh alle clients durchgehen. von dem her kann ich alles ueberpruefen. leider tut der ndesk nicht immer richtig.