Spam per Webmail relayed Wie? - Exch2010

[rengiared 10]

Hallo,

 

ich habe aktuell leider ein Problem mit einem Exchange 2010 Server bei dem ich absolut nicht weiter weiß.

Heute im laufe des Tages fiel mir auf das der Exchange Server keine Mails mehr annahm, auch per Telnet konnte ich über SMTP keine Verbindung aufbauen.

Nach etwas suchen fand ich die Ursache, im MessageTracking Log fand ich zig Tausend einträge dieser Art:

#Fields: date-time,client-ip,client-hostname,server-ip,server-hostname,source-context,connector-id,source,event-id,internal-message-id,message-id,recipient-address,recipient-status,total-bytes,recipient-count,related-recipient-address,reference,message-subject,sender-address,return-path,message-info,directionality,tenant-id,original-client-ip,original-server-ip,custom-data
2011-05-26T15:52:28.391Z,,,,,,,POISONMESSAGE,POISONMESSAGE,9658,<ef64c71d-10b9-491d-bc31-809b86073346@domain.at>,th1120@sourcingchina.cn,,12353,1,,,"Unzustellbar: =?134?Q?Official_Letter_of_Invitation_for_2011_China_(Qingdao)_Garments_Sourcing_Fair_(June_16-18,_2011)?=",postmaster@domain.at,<>,,,,,,
Zwischendurch so alle paar hundert Einträge sind dann wieder solche zu finden, alle anderen gleichen dem oberen
2011-05-26T19:48:48.122Z,,,,exchsrv,Failure,,DSN,DSN,490,<2554eea7-3f8a-4492-9792-bc5ee46dd58d@domain.at>,th1120@sourcingchina.cn,,12353,1,,<8dab4323f30919141837e53200102819@sourcingchina.cn>,"Unzustellbar: =?134?Q?Official_Letter_of_Invitation_for_2011_China_(Qingdao)_Garments_Sourcing_Fair_(June_16-18,_2011)?=",postmaster@domain.at,<>,,Originating,,,,
2011-05-26T19:48:48.122Z,,exchsrv,,,,,ROUTING,FAIL,279,<8dab4323f30919141837e53200102819@sourcingchina.cn>,inquiry@domain.at,'550 5.1.1 RESOLVER.ADR.RecipNotFound; not found',6381,1,,<2554eea7-3f8a-4492-9792-bc5ee46dd58d@domain.at>,"=?134?Q?Official_Letter_of_Invitation_for_2011_China_(Qingdao)_Garments_Sourcing_Fair_(June_16-18,_2011)?=",th1120@sourcingchina.cn,th1120@sourcingchina.cn,,Incoming,,,,

 

 

 

Insgesamt schon 14 Logdateien mit jeweils 10MB!

Da Relaying per SMTP kategorisch auszuschließen ist, habe ich auf der Firewall ein Log aufs Webmail aktiviert und konnte sekündlich Zugriffe darauf feststellen. Sobald der Zugriff aufs Webmail (nur SSL) abgedreht war, war auch das wachsen der Log-Dateien beendet.

Jetzt frage ich mich nur als Exchange-Laie der ich leider bin, wie gibts das bzw. wie kann ich das in Zukunft verhindern?

In den oben geposteten Logs steht auch kein Account über den diese gekommen sein könnten (d.h. ich kann jetzt auch nicht sagen ob ein Account kompromittiert wurde).

 

Den SMTP Dienst konnte ich nur wieder zum laufen bekommen indem ich den Transport Dienst beendet und die mail.que komplett gelöscht habe.

 

In dem Moment wie ich das hier schreibe ist per SMTP schon wieder alles down und meine Webmail Idee ist dahin, außer das ganze liegt noch irgendwie/irgendwo im Cache zum abarbeiten.

 

In der Exchange-Powershell kann ich z.b. keine Abfrage ala 'Get-Message -Queue "Poison"' machen und auch in der GUI bekomm ich beim Aufruf der Warteschlangenanzeige folgende Meldung

Auf Computer "exchsrv" kann keine Verbindung mit dem Microsoft Exchange-Transportdienst hergestellt werden. Überprüfen Sie, ob der Dienst gestartet wurde. Der Befehl 'get-queue -ResultSize '1000' -ReturnPageInfo $true -SordOrder '#NextHopDomain' -server 'exchsrv' -SearchForward $true - BookmarkObject 'Microsoft.Exchange.Data.QueueViewer.PropertyBagBasedQueueInfo' -BookmarkIndex '-1' -IncludeBookmark $true' wurde ausgeführt.

 

 

Ich bin für jedwede Hilfe und Denkanstoss dankbar da ich mich momentan nicht raussehe :(.

Vielen Dank im Voraus

[RobertWi 81]

Moin,

 

im IIS-Log könntest Du sehen, mit welcher Kennung da gearbeitet wird.

 

Ich denke es handelt sich um (entweder / oder):

- ein offenes Relay

- eine gehacktes Passwort und die Nutzung von EWS/OWA

- Backscatter

 

 

1. Würdest Du im SMTP-Log sehen, nicht im MessageTracking.

2. von einem gehackten und massenhaft verwendeten OWA habe ich noch nichts gehört, aber die EWS-Schnittstelle ist relativ einfach zu nutzen -> IIS-Protokolle sichten

3. dagegen kannst Du nichts machen, außer einen vernünftigen Spam-Filter vor Exchange betreiben

 

Halte uns auf den laufenden!

[rengiared 10]

Hallo und danke schonmal für die Antwort.

 

das offene Relay schließe ich eigentlich aus, da unsere Mails noch von einem externen SPAM-Gateway gefiltert werden und Port 25 auf den Exchange Server nur von dessen IPs offen ist. D.h. es sollte eigentlich nichts anderes von außen relayen können.

das gehackte Passwort mit Nutzung über EWS/OWA ist eigentlich auch mein Favorit, jetzt muss ich nur mehr herausfinden wie ich den richtigen Account finde (also über welches log).

 

Sobald ich mehr rausgefunden habe berichte ich wieder

(Für weitere Hilfe bin ich natürlich immer dankbar :D)

[RobertWi 81]

Moin,

 

beobachte das IIS-Log, zu finden normalerweise unter "c:\iisroot\logs".

[GuentherH 61]

Hi.

 

So auf den 1. Blick riecht das Log nach Backscatter.

 

LG Günther

[rengiared 10]

Hallo

 

da in unregelmäßigen abständen immer wieder eine welle der mails gekommen ist, hattest du wohl recht. der gleichzeitige zugriff aufs webmail von diversen ip-adressen wird dann wohl eher zufall gewesen sein

ich hab jetzt als kurzfristige lösung "unzustellbarkeitsberichte zulassen" abgedreht, wobei ich das auf dauer eigentlich nicht möchte

hättet ihr noch tipps wie ich das auf dauer eleganter lösen könnte?

 

vielen dank und lg

[NorbertFe 2.045]

Einen Spamfilter verwenden, der Backscatter erkennen kann.

 

Bye

Norbert

[iDiddi 27]

Hallo zusammen,

 

was mich ein wenig stutzig macht, ist das Fehlen der IP-Adressen im Tracking Log. :suspect:

 

Sollten die dort nicht aufgezeichnet werden, wenn es sich wirklich um Backscatterer handelt?

 

Wäre vielleicht doch interessant, das SMTP-Log (send/receive) zu sehen. Dort müssen die IPs ja auftauchen ;) . Poste doch mal.

[rengiared 10]

iDiddi: Hi, hier einmal ein Auszug des SmtpReceive Logs

die 212.70.XX.yy ist eine IP-Adresse aus der Range von unserem externen SPAM-Filter

 

2011-05-27T20:42:08.237Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,0,192.168.173.5:25,212.70.XX.yy:37292,+,,
2011-05-27T20:42:08.253Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,1,192.168.173.5:25,212.70.XX.yy:37292,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2011-05-27T20:42:08.253Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,2,192.168.173.5:25,212.70.XX.yy:37292,>,"220 EXCHSRV.Domain.local Microsoft ESMTP MAIL Service ready at Fri, 27 May 2011 22:42:07 +0200",
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,3,192.168.173.5:25,212.70.XX.yy:37292,<,EHLO server41.leox.net,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,4,192.168.173.5:25,212.70.XX.yy:37292,>,250-EXCHSRV.Domain.local Hello [212.70.XX.yy],
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,5,192.168.173.5:25,212.70.XX.yy:37292,>,250-SIZE 10485760,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,6,192.168.173.5:25,212.70.XX.yy:37292,>,250-PIPELINING,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,7,192.168.173.5:25,212.70.XX.yy:37292,>,250-DSN,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,8,192.168.173.5:25,212.70.XX.yy:37292,>,250-ENHANCEDSTATUSCODES,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,9,192.168.173.5:25,212.70.XX.yy:37292,>,250-AUTH,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,10,192.168.173.5:25,212.70.XX.yy:37292,>,250-8BITMIME,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,11,192.168.173.5:25,212.70.XX.yy:37292,>,250-BINARYMIME,
2011-05-27T20:42:08.269Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,12,192.168.173.5:25,212.70.XX.yy:37292,>,250 CHUNKING,
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,13,192.168.173.5:25,212.70.XX.yy:37292,<,MAIL FROM:<th1120@sourcingchina.cn> SIZE=5633,
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,14,192.168.173.5:25,212.70.XX.yy:37292,*,08CDEABEAEF65E36;2011-05-27T20:42:08.237Z;1,receiving message
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,15,192.168.173.5:25,212.70.XX.yy:37292,<,RCPT TO:<sales@domain.at> ORCPT=rfc822;sales@domain.at,
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,16,192.168.173.5:25,212.70.XX.yy:37292,<,DATA,
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,17,192.168.173.5:25,212.70.XX.yy:37292,>,250 2.1.0 Sender OK,
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,18,192.168.173.5:25,212.70.XX.yy:37292,>,250 2.1.5 Recipient OK,
2011-05-27T20:42:08.284Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,19,192.168.173.5:25,212.70.XX.yy:37292,>,354 Start mail input; end with <CRLF>.<CRLF>,
2011-05-27T20:42:08.612Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,20,192.168.173.5:25,212.70.XX.yy:37292,*,Tarpit for '0.00:00:00.873' due to 'DelayedAck',Delivered
2011-05-27T20:42:08.612Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,21,192.168.173.5:25,212.70.XX.yy:37292,>,250 2.6.0 <00652f1edbf8234fae623d0500169176@sourcingchina.cn> [internalId=244] Queued mail for delivery,
2011-05-27T20:42:08.612Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,22,192.168.173.5:25,212.70.XX.yy:37292,<,QUIT,
2011-05-27T20:42:08.612Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,23,192.168.173.5:25,212.70.XX.yy:37292,>,221 2.0.0 Service closing transmission channel,
2011-05-27T20:42:08.612Z,EXCHSRV\Relay EXCHSRV,08CDEABEAEF65E36,24,192.168.173.5:25,212.70.XX.yy:37292,-,,Local

 

@norbertfe: k, danke. ich werde das einmal an den dienstleister weiterleiten über den unsere mails zwecks spamfilter drüberlaufen

[iDiddi 27]

Hmm. Wenn das mal kein offenes Relais ist :suspect:

 

Der sendende Server ist:

server41.leox.net

 

Absender ist:

MAIL FROM:<th1120@sourcingchina.cn>

Das ist sicherlich keiner von Euren Benutzern ;)

 

 

Dieser Empfänger doch aber auch nicht, oder?

RCPT TO:<sales@domain.at> ORCPT=rfc822

 

 

Aber trotzdem wird diese Mail angenommen und weiter verarbeitet:

250 2.6.0 <00652f1edbf8234fae623d0500169176@sourcingchina.cn> [internalId=244] Queued mail for delivery

 

Oder wird diese danach intern verworfen und ich interpretiere hier was falsch?

[RobertWi 81]

Und wieder mal können wir nur spekulieren und raten, weil sowohl Domänen-Name als auch IP-Adresse rausgenommen worden sind.

 

Schade.... :cry:

[rengiared 10]

Danke, ihr habt mich gerade auf etwas gebracht, ich bin schon ein fester Depp

Ich hab vor einigen Wochen von 2003 auf 2010 migriert und anscheinend hat er dabei die Einstellung "Empfänger filtern, die nicht im Verzeichnis vorhanden sind" nicht mitgezogen, das sollte ich jetzt mit "Set-RecipientFilterConfig -RecipientValidationEnabled $true" am 2010er nachgeholt haben

 

@RobertWi: ich kann dir auch gern das Log unverändert per PM schicken, ich möcht es ehrlich gesagt nur ungern öffentlich posten. Ich hoffe das ist verständlich.

 

Ich werde jetzt die nächsten Tage die Logs verstärkt beobachten und dann demnächst berichten ob es sich damit etwas beruhigt hat.

 

Danke und lg

[RobertWi 81]

@RobertWi: ich kann dir auch gern das Log unverändert per PM schicken, ich möcht es ehrlich gesagt nur ungern öffentlich posten. Ich hoffe das ist verständlich.

 

Verstehe ich, aber dann musst Du verstehen, dass wir Dir nicht wirklich helfen können - und rumraten macht deutlich weniger Spaß, als das Problem konkret anzugehen.

[rengiared 10]

Was konkret stört dich denn jetzt beim anonymisierten Log?

Wobei ich zugeben muss 212.70.XX.yy war umsonst, da das server41.leox.net entspricht (unser externer spamfilter)

@domain.at entspricht unserer domain und exchsrv.domain.local unserem exchangeserver

sind damit wirklich relevante daten weggenommen worden? (nicht falsch verstehen, interessiert mich wirklich)

 

danke und lg

[iDiddi 27]

sind damit wirklich relevante daten weggenommen worden? (nicht falsch verstehen, interessiert mich wirklich)

Wenn Du was änderst, was ja in manchen Fällen verständlich ist, dann weise doch bitte darauf hin.

 

Außerdem hättest Du mir ruhig früher schreiben können, dass ich mit Domain.at falsch lag :rolleyes:

 

Zurück zum Problem: Kann Dein vorgelagerter Spamfilter nicht die Empfänger-Filterung für Dich übernehmen?