Exchange 2010 - Meine Emailadresse wird für Spam missbraucht

[zetor 11]

Hallo Leute,

 

ich such heute schon den ganzen Tag nach einer Lösung wie das passieren kann, komme aber nicht richtig klar (Bin nur ein AmateurAdmin). Ich bekomme ständig Rückläufermails von Empfängern die nicht erreichbar sind. Anscheinend werden über meine Emailadresse Spamnachrichten verschickt. Eigentlich müssten die Einstellungen auf meinem Exchange Server passen, d.h. er sollte nicht als offener Relay konfiguriert sein. Allerdings habe ich zum Exchange 2010 auch keine richtig gute Anleitung finden können??

Ich habe einen Empfangsconnector angelegt "Internetempfang", der als lokale IP die des Exchange Servers eingetragen hat und als Remote den gesamten IP Bereich. Authentifizierung ist TLS und Berechtigung Anonym. Ansonsten gibt es noch den Default und den Client Connector, das passt doch oder?

 

Mir fällt allerdings folgendes auf:

In den Rückläufernachrichten steht ja immer diese Zeile

Received: from [41.251.69.170] by ssl.meinedomain.de; Thu, 9 Sep 2010 12:45:38

+0100

 

Die IP die da steht ist nicht meine (feste) IP, kann das sein das die mails gar nicht von meinem Exchange aus versendet werden, sonder nur jemand meine Adresse nutzt? Wie kann ich sowas unterbinden?

[NorbertFe 2.045]

Wenn du NDRs bekommst, dann müssen die noch lange nicht über deinen Server gelaufen sein. Da hilft nur ein Backscatter Filter und ansonsten noch das Setzen von SPF Records für deine Domain.

 

Bye

Norbert

[zetor 11]

Hi Norbert, Danke für deine Antwort!

 

Inzwischen habe ich das auch herausgefunden: MSXFAQ.DE - NDR Spamming

 

Aber jetzt musst du mir da doch noch etwas unter die Arme greifen, was macht ein SPF Record? Bzw. Hat Exchange 2010 einen Backscatter Filter Onboard? (=NDR Filter?)

[NorbertFe 2.045]

Aber jetzt musst du mir da doch noch etwas unter die Arme greifen, was macht ein SPF Record?

 

Du findest NDR Spamming aber keinen SPF Record per Google? ;)

 

Bzw. Hat Exchange 2010 einen Backscatter Filter Onboard? (=NDR Filter?)

 

Nein. Dazu brauchst du entsprechende Software. Soweit ich weiß kann Exchange 2010 in ZUsammenspiel mit Forefront Protection 2010 for Exchange das aber.

Andere Alternativen hat Frank sicher auf seiner Seite. Für ORF Enterprise Edition gibt es ebenfalls einen Backscatter Agent.

 

Bye

Norbert

[zetor 11]

hi Leute,

 

ich möchte das Thema nocheinmal aufgreifen, da ich das Problem bisher nicht lösen konnte.

- Der SPF Record ist gesetzt.

- Ein zusätzlicher Backscatter filter neben meinem Sophos Pure Message ist mir zu teuer

 

Daher meine Idee: Kann ich nicht eine Regel auf dem Exchange erstellen die alle Emails mit bestimmten Wörtern im Betreff (z.b. Unzustellbar) herausfiltert, und als Ausnahme die Emails in deren Text die IP meines Exchange Servers auftaucht. Denn ich habe Festgestellt das die NDR Spam Mails zwar von der selben Domäne, jedoch nicht von meiner IP versendet werden, somit müssten die "echten" NDR Nachrichten durchkommen oder?

 

Nur leider funktioniert die Regel nicht.. Vll mache ich auch was falsch:

Exchange 2010 - Organisationskonfiguration - Hub Transport - Transportregeln

--> Neue Regel

- Bedingung: Wenn das Betrefffeld die Wörter "Unzustellbar" enthält

- Aktion: SCL Level auf 8 setzen

- Ausnahme: Wenn der Nachrichtentext folgende Wörter enthält "IP Meines Servers"

 

Nur leider greift die Regel nicht, was mache ich falsch?

[NorbertFe 2.045]

Ich glaube nicht, dass man das sinnvoll mit einer Transportregel lösen kann. Was kostet denn ein Backscatterfilter? Der den ich einsetze (sicher auch nicht 100%) kostet knapp 200€ und macht weitere Spamfilter überflüssig.

Vamsoft Backscatter Protection Agent

Ja, ich weiß, dass da steht experimental. ;)

 

Bye

Norbert

[zetor 11]

Ich habe nur 5 User am Exchange laufen.. da sind auch 200 Euro viel Geld ;) Oder gibt es eine Möglichkeit für einen bestimmten User NDR Nachrichten komplett herauszufiltern?

[NorbertFe 2.045]

Ist nicht sinnvoll und gegen diverse RFCs (AFAIR). Denn du würdest dann ja grundsätzlich keine NDRs und wahrscheinlich auch keinen DSN mehr empfangen. Ich würde mir die 200€ (es sind weniger) aus dem Kreuz leiern und mich freuen, dass ich das Backscatterproblem gelöst bekomme und einen Spamfilter erhalten habe, der vieles andere in den Schatten stellt. Du kannst dir dort die 30 Tage Testversion runterladen und nutzen. Danach siehst du, ob es überhaupt den gewünschten Effekt zeigt bei dir.

 

Bye

Norbert

[zetor 11]

Hallo Norbert,

 

also ich habe den GFI Backscatter Filter getestet, aber leider nur mit sehr bedingtem erfolg. Deshalb muss ich das Thema nochmal aufgreifen, und möchte dich Fragen ob du einen Spamfilter für kleine Unternehmen kennst die einen BATV Schutz eingebaut haben, denn damit sollte ich das Bounce (Backscatter) Problem in den Griff bekommen oder?

[GuentherH 61]

Hallo.

 

Teste einmal die XWALL von DataEnter's Utilites for Microsoft Exchange

 

LG Günther

[zetor 11]

Hallo Günther,

 

Also ich habe die XWALL mal installiert muss sagen "WOW" - Von allen Spamfiltern die ich bisher getestet habe (und das waren inzwischen doch einige). Ist die XWALL der mit abstand am besten und verständlichsten zu konfigurierende Spamschutz!! Ich werde jetzt die 30 Tage testzeitraum mal laufen lassen, aber normal darf da gar nichts mehr durchgehen!

 

Kleine spezielle Anmerkung zu NDR (Backscatter) Spam. Es gibt in der XWALL 2 Möglichkeiten diesen zu zu bekämpfen:

- Komplettes Abblocken von NDR Nachrichten an einen bestimmten Empfänger

- "Entdecke Backscatter". XWALL überprüft die recieved Kopfzeile der Orginalnachricht und vergleicht die IP Adressen der Nachricht mit der Adresse der XWALL Maschine, des SPF Eintrags und der IP Adressen des Backup MX.

 

Mal sehen, aber ich hoffe das es mir geholfen hat! Ich werde dann nochmal einen Bericht abgeben! Danke aber Günther!!

[NorbertFe 2.045]

Hallo Günther,

 

Also ich habe die XWALL mal installiert muss sagen "WOW" - Von allen Spamfiltern die ich bisher getestet habe (und das waren inzwischen doch einige). Ist die XWALL der mit abstand am besten und verständlichsten zu konfigurierende Spamschutz!! Ich werde jetzt die 30 Tage testzeitraum mal laufen lassen, aber normal darf da gar nichts mehr durchgehen!

 

Naja, wenn du das meinst, allerdings gibt es mir zu denken, dass du dich über 200€ beschwerst und dann bereitwillig mit voller Begeisterung zu einem mindestens doppelt so teurem Produkt greifst. :cool:

 

Kleine spezielle Anmerkung zu NDR (Backscatter) Spam. Es gibt in der XWALL 2 Möglichkeiten diesen zu zu bekämpfen:

- Komplettes Abblocken von NDR Nachrichten an einen bestimmten Empfänger

 

Ungünstig, meinst du nicht?

 

Bye

Norbert

[GuentherH 61]

Hallo.

 

Es gibt in der XWALL 2 Möglichkeiten diesen zu zu bekämpfen:

 

Nein, gibt es nicht. Es gibt genau eine Checkbox um Backscatter zu blockieren.

Bei NDR steht in der Erklärung genau das, was dir Norbert in Beitrag #8 bereits erklärt hat. Die Funktion ist dazu gedacht um von einer bestimmten E-Mail Adresse Systemnachrichten zu blocken. Und Systemnachrichten können DNS / NDR oder Unzustellbarkeitsberichte sein.

Zudem funktioniert der Backscatter-Filter auf einer ganz anderen Basis. Aber das findest du sicher heraus, wenn du beim Lesen des Handbuches bei diesem Thema angekommen bist.

 

LG Günther

[NorbertFe 2.045]

das findest du sicher heraus, wenn du beim Lesen des Handbuches bei diesem Thema angekommen bist.

 

Des was? ;)

 

Bye

Norbert

[GuentherH 61]

Ui, sorry, ich habe irrtümlich das böse Wort geschrieben :D

 

LG Günther