Mr_Marple 15 Geschrieben 28. Juli 2010 Melden Geschrieben 28. Juli 2010 Hallo! Ich habe ein eigenartiges Problem mit einem SBS 2003 + Exchange. Meine Warteschlangen sind voll mit Nachrichten eines Absenders, der NICHT aus der internen Domäne kommt. Es sind ca 4000 Domänen an die der Absender in der Warteschlange nicht senden kann. Relay ist der Server keines, hat auch alle Tests von Mail relay testing bestanden. Im virtuellen SMTP habe ich ständig offene Sitzungen von eine IP in Brasilien. Siehe Screenshot 1. Ich habe jetzt mal die Annahme von dieser IP gesperrt. Was genau besagt die Spalte Benutzer eigentlich? Hier hat sich der Brasilianer als User angemeldet, wo existiert dieser User? Bei uns jedenfalls nicht. Es ist auch die Filterung aktiviert dass nicht-AD User abgelehnt werden.(Screenshot 2) Was kann ich tun um dieses Problem zu lösen? Ich bin da irgendwie ratlos... :confused: Zitieren
GuentherH 61 Geschrieben 28. Juli 2010 Melden Geschrieben 28. Juli 2010 Hallo. Schau einmal im AD nach ob es da einen Benutzer "User" gibt. Anscheinend kann sich der Kollege über dieses authentifizieren. LG Günther Zitieren
Mr_Marple 15 Geschrieben 28. Juli 2010 Autor Melden Geschrieben 28. Juli 2010 Hallo, nein bei uns gibt es den User nicht. Auch glaub ich gar nicht dass in dieser Spalte richtige AD User stehen. Ich hab da auch schon andere User gesehen, mit irgendeinen namen zB. eine IP mit Nummern und so. Vermutlich bekommen anonyme User irgendeinen Namen, ist aber auch nicht soo wichtig. Wichtiger wäre zu wissen wie das Ganze eigentlich passiert ist. Ich rätsle nun seit Stunden und kann mir das nicht erklären. Wenn ich einen Trojaner am Server hätte, dann würde der doch selbst senden und nicht den Exchange dazu benutzen. Keine Ahnung..... Zitieren
GuentherH 61 Geschrieben 28. Juli 2010 Melden Geschrieben 28. Juli 2010 Hallo. dann würde der doch selbst senden und nicht den Exchange dazu benutzen. Stimmt nicht ganz. Da der Trojaner Port 25 benutzt, sendet er über den SMTP des Exchange. Konfiguriere im virtuellen SMTP das nur die IP des Exchange auf diesen zugreifen darf. LG Günther Zitieren
Mr_Marple 15 Geschrieben 12. August 2010 Autor Melden Geschrieben 12. August 2010 Nur der Vollständigkeit halber: Habe das Problem dann gelöst, es wurde tatsächlich ein interner User zur Authentifizierung verwendet. Nur hatte der einen ganz anderen Namen als bei den offenen Sitzungen angezeigt wurde, deshalb hab ich es auch nicht gleich entdeckt dass es doch ein interner User war. Die haben einfach mit Brute-Force das Passwort geknackt, man sieht auch jetzt noch im Ereignisprotokoll immer wieder Anmeldeversuche bei Usernamen wie Office, Sales, Marketing, udgl.... Da die immer von anderen Servern kommen kann ich da in der Firewall gar nichts sperren. Ich kann nur hoffen dass denen mal fad wird und sie aufgeben. :D Zitieren
NorbertFe 2.178 Geschrieben 12. August 2010 Melden Geschrieben 12. August 2010 Man könnte auch Kennwörter verwenden, die man nicht so ohne weiteres per Brute Force herausbekommt. ;) Bye Norbert Zitieren
GuentherH 61 Geschrieben 12. August 2010 Melden Geschrieben 12. August 2010 Hallo. Da die immer von anderen Servern kommen kann ich da in der Firewall gar nichts sperren Brauchst du auch nicht. Du musst nur im virtuellen SMTP einstellen, dass die User nicht auf diesen zugreifen dürfen. LG Günther Zitieren
Mr_Marple 15 Geschrieben 12. August 2010 Autor Melden Geschrieben 12. August 2010 Ja, hatte ich dann auch gleich gemacht. Standardmässig ist das anscheinend aktiviert. Tja, und das mit den Passwörtern ist auch oft so eine Sache, habe es schon gesehen dass die komplexeren Passwörter auf einem Post-It stehen das am Bildschirm klebt. :shock: Jeder wie er will.... :rolleyes: Zitieren
djmaker 95 Geschrieben 12. August 2010 Melden Geschrieben 12. August 2010 Nur das ein Trojaner kein Post-it lesen kann. :-) Zitieren
Mr_Marple 15 Geschrieben 14. August 2010 Autor Melden Geschrieben 14. August 2010 Hahaa, na soweit sind wir Gott oder wem auch immer sei Dank noch nicht! :D:D Nur super wirds wenn ein "Kunde" sich dann wegen so einem Unsinn selbst bedient. Firmendaten sollte man hüten wie ein Heiligtum. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.