versenden wir spam?

[butch80 10]

Hi all,

 

mein Chef sendet angeblich unter seiner Mil Spam. Kann natürlich auch sein, dass das fakes der Spamer sind. Deswegen meine Frage an euch. Wie kann ich feststellen, ob ein Rechner in unserem LAN Spams versendet?

 

Über Abuse habe ich schon unseren Mailserver gecheckt. Anscheinend ist der soweit in Ordnung. Wir haben SBS 03 und als Spamlösung GF (aktuellste Version) im Einsatz!

 

Wie geht man in so einem Fall am Besten vor?

 

Danke im Voraus!

[GuentherH 61]

Hallo.

 

- aktiviere das Logging des virtuellen SMTP. In diesem siehst den ein-/ausgehenden Mailverkehr des Exchange

- vermutlich hast du aber eher mit dem "Backscatter - Problem" zu kämpfen. Benutze zu diesem Thema einmal die Baordsuche.

 

Ich setze natürlich voraus, dass euer Netzwerk (Firewall) so konfiguriert ist, dass nur für den Exchange Server Port 25 geöffnet ist, und ansonsten kein Client direkt Mails versenden kann.

 

LG Günher

[butch80 10]

Hallo.

 

- aktiviere das Logging des virtuellen SMTP. In diesem siehst den ein-/ausgehenden Mailverkehr des Exchange

- vermutlich hast du aber eher mit dem "Backscatter - Problem" zu kämpfen. Benutze zu diesem Thema einmal die Baordsuche.

 

Ich setze natürlich voraus, dass euer Netzwerk (Firewall) so konfiguriert ist, dass nur für den Exchange Server Port 25 geöffnet ist, und ansonsten kein Client direkt Mails versenden kann.

 

LG Günher

 

Hallo Guenther,

 

meinst du mit Aktivierung des Loggings, die Option: ESM-->Administratrive Gruppen- erste adm.grp.-->Server-->Servername-->Protokolle-->SMTP--> Eigenschaften von Virteller Standardserver für SMTP-- Registerkarte "Allgemein" Protokollierung aktivieren? falls ja, kann ich ja das Format "W3C-erweitert" lassen?

Dann werd ich dort mein Häckchen setzen. Was wäre da eigentlich der Vorteil gegenüber der Option Nachrichtenstatus?

 

ja, nur der Mailserver darf Port 25 benutzen. (wobei man sagen muss, dass 3 Rechner/Server in der Relayliste des Servers stehen. Da wir mit denen Newsletter verschicken.

 

Danke im Voraus!

[GuentherH 61]

Hallo.

 

meinst du mit Aktivierung des Loggings, die Option: ESM-->Administratrive Gruppen- erste adm.grp.-->Server-->Servername-->Protokolle-->SMTP--> Eigenschaften von Virteller Standardserver für SMTP-- Registerkarte "Allgemein" Protokollierung aktivieren? falls ja, kann ich ja das Format "W3C-erweitert" lassen?

 

Genau das ist es. Und vergiss nicht die nötigen Checkboxen zu aktivieren, ansonsten schaut dein Protokoll etwas "dünn" aus.

 

Was wäre da eigentlich der Vorteil gegenüber der Option Nachrichtenstatus?

 

Das Nachrichtentracking verfolgt eigentlich nur das was intern am Exchange passiert, bzw. bis zum "Ende" des Exchange.

Das Logging am virtuellen SMTP schreibt die die Kommunikation zwischen dem Exchange und dem Internet mit.

 

LG Günther

[butch80 10]

danke! hab ich nun aktiviert! welche nötigen Checkboxen meinst du? bzw. wo sind die?

 

wenn du mir dann noch sagen kannst, wie ich so ein Protkoll analysiere, bzw. wie ich dadurch herausfinden kann ob mein Chef Spams verschickt oder nicht, wäre super! :-)

[NorbertFe 2.110]

danke! hab ich nun aktiviert! welche nötigen Checkboxen meinst du?

 

Im Zweifel alle.

 

bzw. wo sind die?

 

Auf dem anderen Reiter in den Logfileeinstellungen. ;) Das war ja schwer.

 

Bye

Norbert

[GuentherH 61]

Hallo.

 

wenn du mir dann noch sagen kannst, wie ich so ein Protkoll analysiere, bzw. wie ich dadurch herausfinden kann ob mein Chef Spams verschickt oder nicht, wäre super! :-)

 

Schau dir nach 1-2 Stunden das Logfile einmal an, dann solltest du eigentlich selbst sehen worum es geht ;)

 

LG Günther

[NorbertFe 2.110]

mein Chef sendet angeblich unter seiner Mil Spam.

 

Wer behauptet das wäre ja mal interessant zu erfahren.

 

Kann natürlich auch sein, dass das fakes der Spamer sind.

 

Wenn bei deiner Konfig nicht was ganz im Argen liegt, dann ist deine Annahme sehr wahrscheinlich.

 

Bye

Norbert

[butch80 10]

sry, hätte selbst auf den anderen Reiter kommen können :-)

 

Gut, dann check ich das Ganze mal!

ich danke, für eure kompetente und schnelle Hilfe!

–

Hallo.

 

Schau dir nach 1-2 Stunden das Logfile einmal an, dann solltest du eigentlich selbst sehen worum es geht ;)

 

 

 

öhm, nicht wirklich :-)

 

ich hab jetzt mal mit Hilfe des Trackings vom ESM nachgeschaut, wann mein Chef eine Mail ans sich (angeblich) selbst sendet.

 

anschließend hab ich das genaue Datum unter der neuen Log angeschaut.

 

So sieht das dann aus:

 

2009-01-13 10:07:51 145.253.2.14 OutboundConnectionCommand SMTPSVC1 UnserMailserver- 25 QUIT - - 0 0 4 0 96782 SMTP - - - -

2009-01-13 10:07:51 93.112.144.237 62.*unserere externe IP" SMTPSVC1 UnserMailserver- 0 RCPT - +TO:+<Mail-Alias@vom Chef.de> 250 0 0 32 15 SMTP - - - -

 

ganz klar, ist das nicht für mich.sry.

[GuentherH 61]

Hallo.

 

93.112.144.237 = die IP, die eine Verbindung zu eurem Server aufbaut (ist eine dynamische Adresse aus Rumänien ;) )

.*unserere externe IP = ist klar, euer Mailserver antwortet darauf

RCPT TO = ist die Empfängeradresse

 

Das ist ein ganz normales Mail, das an deinen Chef geschickt wird, und dann wahrscheinlich im SPAM gelandet ist. ;)

 

Schau dir dazu einmal an, wie der Ablauf einer SMTP Session in etwa läuft, dann wird dir vieles klarer - : www.SBSPraxis.de, Verwenden von Telnet zur Überprüfung des SMTP Nachrichtenflusses :

 

Wenn es sich, wie von mir vermutet um Backscatter handelt, dann musst du wie folgt vorgehen.

 

Such dir eines der Mail heraus, dass angeblich dein Chef geschickt hat. Such dir die Maildomäne heraus, und überprüfe dann, ob du im Logfile ein mail from: dein_chef an rcpt to: der_angebliche_Empfänger auftaucht.

 

LG Günther

[butch80 10]

danke!

 

werd ich gleich mal tun!