Exchange 2003 spammt rum - warum?

[dippas 10]

Hallo zusammen,

 

ich habe akut - sprich seit heute Nacht - ein kleines Problem mit einem Exchange 2003 (SBS):

 

Das Ding spammt munter durch die Gegend :mad:

 

Hintergrundinfos zum System:

 

- SBS 2003 R2 - aktuell gepatched

- Exchange 2003 SP2 - aktuell gepatched

- Clients XP-Pro SP3 - aktuell gepatched

- Patchmanagement via WSUS

- Virenschutz F-Secure - aktuell

- durchgeführter Virenscan - alles OK

- virtueller SMTP-Connector: Relayberechtigung nur für zwei/drei Kopierer (Scan to Mail) und alle Computer, die sich erfolgreich authentifizieren

- Firewall lässt SMTP-Datenverkehr eingehend und ausgehend nur zum/vom Exchange zu - die Firewall-Logs bestätigen , das kein anderes System in LAN SMTP nutzt

 

 

Auszug aus dem Exchange-Log (gekürzt):

 

Date/Time/client-ip/Client-hostname/Server-hostname/server-IP/Recipient-Address/Event-ID/MSGID/total-bytes/service-Version/Linked-MSGID/Message-Subject/Sender-Address

 

14.05.2009/21:2:59 GMT/124.198.54.204/micrsofte.com/Exchangename-des-Systems/interne-IP-des-Exchange/luvmeg@yahoo.com/1024/4M-g-n0zO@micrsofte.com/Version: 6.0.3790.3959/-/Hey Eugene sore back?/pac77kbc@micrsofte.com/

 

Temporär habe ich die 124er IP (client-ip gemäß Log) im virtuellen SMTP-Connector in der Verbindungskontrolle abgelehnt. Seither ist Ruhe.

 

Nachdem ich mit dem Provider gesprochen habe (dieser hat uns darauf aufmerksam gemacht, dass da was nicht stimmt) und wir die oben genannten Punkte abgeklappert hatten, gingen uns so leicht die Ideen aus. Einzig -> ggfs. IIS gehackt? (IIS läuft zwecks OWA usw.)

 

Frage:

 

Hat jemand akut ggfs. dasselbe Problem, oder noch besser: einen Lösungsansatz?

 

grüße

 

dippas

[djmaker 95]

Mache den haken raus bei "Alle auth. Computer dürfen relayen". Ein Kollege hatte einen ähnlichen Fall, da hatte nix anderes geholfen. Trage die Kopierer manuell als freigabe ein.

[gelöscht 0]

Hallo,

 

nimm die Kopierer da auch raus, die müssen wohl kaum gescannt Dokumente direkt ins internet versenden, oder?

 

ASR

[dippas 10]

Hallo,

 

nimm die Kopierer da auch raus, die müssen wohl kaum gescannt Dokumente direkt ins internet versenden, oder?

 

ASR

 

Ne, das nicht. Aber damit die Scan to Mail machen können, müssen die relayberechtigt sein.

 

Die Sache mit den auth. Computern werde ich mal prüfen.

 

Nichts desto weniger trotz sollte gemäß der Konfiguration ein externer Rechner (einer im Inet) nicht relayen/spammen dürfen. Geht trotzdem, aber warum?

 

grüße

 

dippas

[gelöscht 0]

Ne, das nicht. Aber damit die Scan to Mail machen können, müssen die relayberechtigt sein.

Warum? Wenn der Kopierer per SMTP eine Mail an den Exchange Server sendet ist das kein "relaying", das wäre es erst wenn der Exchange nach Extern weiter senden soll. Das dürfte i.d.R. weder notwendig noch gewünscht sein.

Ich kann Dir nahelegen mit solchen Relay-IPs äusserst sparsam zu sein.

 

ASR

[Steven2007 10]

Hallo,

 

mein Tipp wäre einfach mal auf dem Exchange Wireshark auf Port 25 lauschen zu lassen und dann zu schauen, welche IP zu deinem Exchange Kontakt aufnimmt, während er eine Mail weiterleitet. Es ist auch nicht unwahrscheinlich, dass du dann sogar erkennen kannst, wie sich der Spammer authentifiziert.

 

Ich denke das sollte die beste Methode sein, da sich Mail-Header ja fälschen lassen.

 

Streng genommen kann sich ja ein Rechner aus dem Internet ja gar nicht als authentifizierter Rechner anmelden, da du ja eine Firewall zwischen drin hast und wohl nicht RPC/LDAP/Kerberos durch lässt, oder hab ich da nen denkfehler?

 

Von daher läuft da entweder was beim Exchange falsch oder der Nutzer meldet sich als eines deiner Scan-Konten an.

 

Oder es ist wieder was ganz anderes ^^

 

ODER: Der Spammer sitzt hinter deiner Firewall (intern!)?

 

Gruß,

 

Steven

[djmaker 95]

Steven:

 

ich kann nur wiederholen das ein Kolege diesen Fall schon hatte . . . . trotz Firewall dazwischen. Wir wissen bis heute nicht wie das trotzdem funktioniert hat.

[rep 10]

Also einfach mal was machen und hoffen das auch weiterhin alles geht was vorher ging ist nicht so das was ich empfehlen würde. Das hört sich so danach an. Sorry wenn ich das falsch zusammenfasse :)

 

Ich würde ebenfalls schauen von Welcher IP die Sachen reinkommen, dann mir den Rechner ansehen. So wie das klinkt ist es ja die .124 Wireshark würde dann da auch mehr Sinn machen. Oder einen Mirrorport um Wireshark auf einem Cleanen Client oder Notebook verwenden zu können.

 

Wenn auf dem 124er ein IIS läuft, könnte auch ein Formular welches Ständig aufgerufen wird der Grund sein, vielleicht mal nach Requests schauen die per POST senden.

[traced82 10]

Klingt für mich nach Virus/Trojaner auf einem Client, der dann brav über den Mailclient seinen Spam loswird. Dann hast Du ja auch wieder Auth.

 

Grüsse,

Basti

[djmaker 95]

Das lässt sich leicht am Abend oder We herausfinden wenn alle Clients aus sind.

[rep 10]

So lange willst Du warten wenn es ein Virus ist... Das sollte man doch leicht auch sofort feststellen können, und auch müssen.

[djmaker 95]

Off-Topic:

So lange willst Du warten wenn es ein Virus ist... Das sollte man doch leicht auch sofort feststellen können, und auch müssen.

Ich weiß nicht wann bei Dir der Abend beginnt, bei meinen Kunden ist das meist spätestens 20 Uhr. Aus meiner Sicht ist das ein vertretbarer Zeitraum (<10h) bevor man panikartig Aktionen startet.

[rep 10]

Darum geht es in aller Regel nicht... sondern darum das der Virus in der Regel auch was macht, ein Trojaner Daten verschifft oder andere Leute zugespammt werden. Da gibt es viele Sachen die man sich ausmalen kann.

 

.-)