SBS2008 Exchange spammt?

[martins 11]

Hallo,

 

ich habe ein kleines (?) Problem mit einem Exchange Server 2007 (unter Small Business Server 2008). In der Warteschlange häufen sich Mails nach folgendem Muster:

 

 

von Adresse: <>

Status: Wiederholen

SCL: 1-4

Name der Nachrichtenquelle: Name des Empfangsconnectors

Betreff: Mail delivery failes: returning message to sender

Letzter Fehler: Es wurde eine lokale Schleife erkannt

 

 

Der Server empfängt die Mails per DNS und versendet per SMTP (Smarthost des Hosters).

 

 

 

Kann mir jemand sagen, was hier falsch läuft?

[NorbertFe 1.981]

Hast du einen Spamfilter mit Empfängerfilter aktiviert?

 

Bye

Norbert

[martins 11]

Der Spamfilter ist aktiviert:

 

Organisationskonfiguration => Hub-Transport => Antispam => Empfängerfilterung => Geblockte Empfänger => "Nachrichten, die an Empfänger gesendet werden, die nicht in der globalen Adresliste stehen, blocken" ist aktiviert.

[martins 11]

Möchte ich die Spam-Mails in der Warteschlangen händisch löschen, erscheint folgende Fehlermeldung: "Fehler: Der angeforderte Vorgang kann für das Objekt mit der Identität Server\submission\168 nicht ausgeführt werden"

 

Ich stehe auf dem Schlauch! :-(

[martins 11]

Was kann das denn mit der lokalen Schleife auf sich haben:Meldung in der Warteschlange: "Es wurde eine lokale Schleife erkannt" i.

 

Kann es sein, dass einer der Empfangsconnectoren falsch konfiguriert ist? :-/

 

 

Edit:

 

Ein Open-Relay-Test ergibt folgendes Ergebnis:

 

Relay test 1

>>> RSET

<<< 250 2.0.0 Resetting

>>> MAIL FROM:<spamtest@abuse.net>

<<< 250 2.1.0 Sender OK

>>> RCPT TO:<securitytest@abuse.net>

<<< 250 2.1.5 Recipient OK

 

Relay test result

Hmmn, at first glance, host appeared to accept a message for relay.

THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.

 

Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not.

 

You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message.

 

 

 

Kann mir jemand helfen, meine Denkblockade zu lösen?

 

Danke für eure Hilfe.

bearbeitet 15. Oktober 2009 von martins

[NorbertFe 1.981]

Steht vor deinem Exchange noch ein Relay/Firewall mit SMTP Proxyfunktion?

 

Bye

Norbert

[martins 11]

Meines Wissens nach nicht. Bei dem Web-Hoster ist aber in den DNS-Einstellungen der URL noch ein weiterer MX eingetragen:

 

Der untere MX (Prio. 10) ist unserer, der 100er steht direkt bei dem Hoster.

 

 

> set type=mx

> url.de

Server: dnsp03.hansenet.de

Address: 213.xxx.xxx.xxx

 

Nicht autorisierende Antwort:

url.de MX preference = 100, mail exchanger = mxlb.ispgateway.de

url.de MX preference = 10, mail exchanger = exchange.url.de

[martins 11]

Ich finde permanent Mails in meiner Warteschlange, die so aussehen:

 

Identität: SRV01-be\17\16815

Betreff: **** SPAM **** Exchange 2007*** All hand made***

Internetnachrichten-ID: <102a25eb-0381-4576-b6e0-5eb93e4f80a7[ at ]SRV01-BE.firma-be.local>

Von Adresse: ktivwcf[ at ]exchange.firma.de

Status: Bereit

Größe (KB): 8

Name der Nachrichtenquelle: SMTP:Windows SBS Internet Receive SRV01-BE

Quell-IP: 124.xxx.xxx.xxx

SCL (Spam Confidence Level): 5

Empfangsdatum: 17.10.2009 01:06:56

Ablaufzeit: 19.10.2009 01:06:56

Letzter Fehler:

Warteschlangen-ID: SRV01-BE\17

Empfänger: themove[ at ]marineparents.com themouth[ at ]nydailynews.com themount[ at ]mt-lebanon.org tim[ at ]research-lab.com tim[ at ]remple.us timothy.b.toney[ at ]korea.army.mil themother[ at ]mothershandbook.net texasreservations[ at ]gaylordhotels.com tfield[ at ]madison.k12.nc.us tfield[ at ]ismgcorp.com texassales[ at ]teamsimpson.com texasrose[ at ]elp.rr.com texasriskpool[ at ]bcbstx.com

 

 

 

Hat noch jemand eine Idee? ;(

[martins 11]

Gesendet wurde übrigens per Smarthost des Providers, inkl. Auth.. Ich habe das jetzt auf DNS umgestellt und die IP-Range 124.11.139.x/24 gesperrt. Jetzt scheint Ruhe zu sein.

 

Das kann es doch aber nicht wirklich sein. Wieso hat der Server gespammt? :(

[LukasB 10]

Schau dir mal die Eigenschaften des Receive-Connectors an. Weil der Open-Relay Test schaut schon schwer danach aus als ob die Maschine ein offenes Relay sei.

[martins 11]

Hier die Einstellungen des problematischen Empfangsconnectors:

 

http://s3.directupload.net/images/091017/nkq2g7aj.gif

 

Wenn ich die Berechtigung für die anonymen Benutzer herausnehme, bekomme ich bedauerlicherweise keine Mails mehr. Ich habe das mal mit einem anderen Exchange 2007 verglichen, der die gleiche Konfiguration hat. Der hat dieses Relayproblem nicht. Warum dieser Exchange?

[maverick 11]

Würde ich auch drauf tippen; Wurden die Empfangsconnectoren geändert?

[martins 11]

Nein, keine Änderungen.

 

Es gibt noch einen anderen Empfangsconnector, der nimmt allerdings nur Mails von lokalen Geräten an.

 

Hier noch einmal die Nachrichtendetails einer solchen Spammail:

 

Received: from FATHER-SONET (124.12.10.224) by exchange.firma.de

(192.168.100.2) with Microsoft SMTP Server id 8.1.358.0; Fri, 16 Oct 2009

22:32:16 +0200

From: "ktivwcf[at]exchange.firma.de" <ktivwcf[at]exchange.firma.de>

Subject: **** SPAM **** Exchange 2007*** All hand made***

To: <doit[at]washington.edu>

Content-Type: text/html; charset="iso-8859-1"

MIME-Version: 1.0

Content-Transfer-Encoding: base64

Date: Sat, 17 Oct 2009 04:03:31 +0800

Message-ID: <7daa5800-6b2e-430a-ad83-74b881545c7c[at]srv01.firma.local>

Return-Path: ktivwcf[at]exchange.firma.de

X-MS-Exchange-Organization-PRD: exchange.firma.de

X-MS-Exchange-Organization-SenderIdResult: None

Received-SPF: None (srv01.firma.local: ktivwcf[at]exchange.firma.de does

not designate permitted sender hosts)

X-MS-Exchange-Organization-SCL: 5

X-MS-Exchange-Organization-PCL: 2

X-MS-Exchange-Organization-Antispam-Report:

DV:3.3.7622.600;SID:SenderIDStatus None;OrigIP:124.12.10.224

 

 

Danke für euren Rat

Martin

[martins 11]

Noch jemand eine Idee?