Hallo,
ich habe ein Problem.
Unregelmässig über den Tag (und die Nacht) verteilt, tauchen eMails in der Warteschlange auf, die an total wilde Domänen geschickt werden sollen.
Open Relay ist dicht.
Empfängerfilterung ist eingeschaltet.
NDRs sind deaktiviert. (glaube ich zumindest).
Wie kann ich nachprüfen von wem die eMails versendet werden? Ich meine nicht die eMail-Adresse sondern wie das passiert.
Grüsse
BK
Oh vergessen.
Ist ein Windows Server 2003 mit Exchange 2003 SP2
Hallo BK,
schau doch einmal in den SMTP-Logfiles nach. Die findest du (normalerweise) unter C:\WINDOWS\system32\LogFiles\SMTPSVC1.
Dort siehst du jede SMTP-Verbindung von deinem Exchange und die IPs die involviert sind. Dann kennst du zumindest schon mal die Quelle deiner Verbindungen.
Gruss
Tim
Ok, Danke.
Habe ich gemacht.
Das ist ein Auszug davon:
2008-10-06 14:19:20 75.145.48.34 fastupgrade.com SMTPSVC1 MAILSERVER 172.20.xx.xx 0 MAIL -
2008-10-06 14:19:20 75.145.48.34 fastupgrade.com SMTPSVC1 MAILSERVER 172.20.xx.xx 0 QUIT -
Die Quell-IP 75.145.48.34 ist eine IP aus den USA. Es gab aber auch schon welche aus Russland.
Das heisst doch jemand sendet über meinen Server SPAM-Mails.
Moin moin,
nee, das heisst es noch nicht!
Ich nehme mal an, dass die 172.20.xx.xx die IP deines Servers ist!?
Das was du da hast, ist eine ganz normale eingehende SMTP-Verbindung, in der sich der sendende Server (75.145.48.34) mit deinem Server verbinden will, um 'ne Mail abzuliefern.
Interessant wären hier nur die OutboundConnections, davon wirst du auch einige in deinem Log finden. Ich muss allerdings meine Aussage von meinem letzten Post etwas revidieren. Und zwar hab ich mich doch etwas vertan, da man die eigentliche Quell-Absender-IP (im Falle eines Open-Relay-Nutzers) doch nicht erkennen kann.
Hier könntest du solche Verbindungen eigentlich nur daran erkennen wenn weder "mail from", noch "rcpt to" Emails aus deiner Organisation enthalten.
Aber um das mit dem Open Relay einfach mal zu testen, verbind' dich doch mal von ausserhalb deines Netzwerkes auf deinen Mailserver und versuch über telnet 'ne Mail über ihn abzusetzen, welche weder einen Absender, noch einen Empfänger von deinem Mailserver nutzt. Klappt das, ist die Kiste offen! 8-o
Gruss
Tim
Hallo,
lass doch mal einen ExBPA laufen. Dann kannst Du dir ganz sicher sein, dass das Open Relay zu ist.
Hallo Tim,
danke für deinen Tipp.
Ich habe gerade versucht über Telnet eine Mail über meinen Server zuversenden.
Er hat mit "Unable to Relay" geantwortet. Damit ist mein Server kein OpenRelay.
Warum sind in meiner Warteschlange aber trotzdem irgendwelche Mails von fremden Absendern?
Hat ein PC vielleicht einen Virus?
Oder hat ein Spammer ein Passwort von einem User geknackt?
@ Jürgen:
Den ExBPA habe ich auch schon drüber laufen lassen. War zwar nicht alles in Ordnung, ein OpenRelay hat er aber auch nicht angezeigt.
Hmmmmmmmmmm,
was du natürlich auch mal probieren könntest, es ist zugegeben nicht die eleganteste Lösung, dass du mal den Zugriff auf das SMTP-Protokoll einschränkst.
Gehe mal in die Eigenschaften des SMTP-Protokolls auf deinem Mailserver unter dem Punkt "Zugriff" > "Verbindung" und schau mal, ob du dort schon etwas stehen hast, und wenn nicht, ob du da nicht mal ein paar Definitionen treffen möchtest, die wirklich nur dein Netzwerk (z.B. IP-Adressbereich) zulassen.
Dort könntest du dann natürlich auch IP-Bereiche zu Testzwecken mal herausnehmen.
Jaja, ich weiss ich seh schon die User bei dir sturmklingeln!
Aber jetzt mal 'ne andere Frage. Wie ist denn das, wenn nach Feierabend kein User mehr im Haus ist. Werden dann auch noch solche fremden Emails generiert? Schau doch mal in der Warteschlange nach, was diese Emails für ein Ursprungszeitpunkt haben.
Gruss
Tim
