Exchangeserver wird als Spamserver mißbraucht

[Schaetzer 10]

Hallo Leute,

ich sitze gerade bei einem Bekannten, der ein kleines Unternehmen mit 10 Mitarbeitern besitzt.

Nur hat gestern die Telekom angerufen und bescheid gesagt, dass unser Exchangeserver als Spamserver mißbraucht wird. Ein Blick ins C:\WINDOWS\system32\LogFiles\SMTPSVC1\*.log scheint diesen Verdacht zu bestätigen. Seit dem 2008-04-29 02:32:55 wächst das Sendeprotokoll eines Tages von ursprünglich 81KB auf 80MB (Alleine das Sendeprotokoll)

 

Ein Scan der aktualisierten Pandaversion fand jedoch leider keinen Virus. Auch ein Scan mit TrendMicro und AVG sowie Kaspersky e-Scan half nicht weiter.

 

Des weiteren sind auch alle aktuellen Windowsupdates installiert.

 

Windowsfirewall ist deaktiviert, allerdings ist im Büro eine Hardwarefirewall von funkwerk (bintec R3000) installiert.

 

Achja die Serverversion ist Windows 2003 SBS sowie Exchange 2003

 

Ich hoffe ihr habt noch eine Idee.

[nerd 28]

Hi,

 

ein open Relay ist kein Virus oder Backdoor (in den meisten Fällen) - das ist normal ein Konfigurationsfehler. Welche Exchange Version setzt du ein? Wer hat das System installiert?

 

viele Grüße

[Splash 10]

Ich würde da auch auf Open Relay tippen und das kontrollieren ...

[nerd 28]

... und fixe das Problem zeitnah (am besten Server gleich aus schalten) 80 MB Logfile das bedeutet, dass du richtig viele Mails versendest und ich bin bestimmt der Empfänger von min. einem dieser Mails. :mad:

 

P. S.: Wenn du schon so viel SPAM versendest hast steht eure IP bestimmt auch auf allen blacklists dieser Welt. Du solltest daher deine Exchange connectoren auf ein smart relay umstellen um weiter sicher stellen zu können, dass eure mails noch ankommen (wenn das nicht schon so konfiguriert ist - da euch die tcom angerufen hat kann das durchaus sein...)

 

Gruß

[NorbertFe 2.013]

Nur hat gestern die Telekom angerufen und bescheid gesagt, dass unser Exchangeserver als Spamserver mißbraucht wird. Ein Blick ins C:\WINDOWS\system32\LogFiles\SMTPSVC1\*.log scheint diesen Verdacht zu bestätigen. Seit dem 2008-04-29 02:32:55 wächst das Sendeprotokoll eines Tages von ursprünglich 81KB auf 80MB (Alleine das Sendeprotokoll)

[/Quote]

 

Selbst schonmal getestet? Mail relay testing Ein korrekt konfigurierte Exchange 2003 geht bis Test 18 (oder so) durch. Schau nach, dass du die Empfängerprüfung aktiviert hast, nicht dass du zum NDR Spammer wirst ;)

Ist der Gast Account deaktiviert?

 

Ein Scan der aktualisierten Pandaversion fand jedoch leider keinen Virus. Auch ein Scan mit TrendMicro und AVG sowie Kaspersky e-Scan half nicht weiter.

 

Spam |= Virus

 

Des weiteren sind auch alle aktuellen Windowsupdates installiert.

 

Gut, aber irrelevant in diesem Zusammenhang. Auch ein ungepatchter SBS 2003 ist relaysicher zu betreiben. ;)

 

Windowsfirewall ist deaktiviert, allerdings ist im Büro eine Hardwarefirewall von funkwerk (bintec R3000) installiert.

 

Firewall hat sowas von nichts mit Open Relay zu tun. ;) Aber trotzdem gut, dass du eine hast.

 

Bye

Norbert

[Schaetzer 10]

Danke für die Hilfe Jungs, es waren vor mir schon welche dran (eine Woche lang), die doch recht dilletantisch vorgegangen sind mit Kontolöschung usw. usw., wenigstens hatten die den SMTP Dienst beendet gehabt...

 

Den Rechner hat übrigens eine IT Firma damals aufgesetzt...

 

Aber ihr hattet Recht mit dem offenen Relay und noch übrig geblieben sowie den noch in der Warteschlange vorhandenen Emails, ich habe gestern beim googeln noch von MS eine deutsche HowTo Anleitung gefunden mit genau dieser Problembeschreibung.

 

Ich setzte nachher noch mal die Anleitung als Link rein, wenn nochmal jemand das Problem haben sollte.

 

---------------------------------------

 

So anbei der Link:

 

Blockieren eines offenen SMTP-Relays und Bereinigen der SMTP-Warteschlangen des Exchange Servers unter SBS