-Haselier- 10 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 Hallo, wir haben ExCh2010 im DAG sowie ein 2 Node CAS ARRAY (NLB). unser Problem ist, dass bei allen W7 CLients in der Domäne "contoso.com", "Telnet" aktiviert wurde und somit ein SMTP Mail versand via "Helo" absetzbar ist und wir nicht herausfiltern können von wem (Name, IP...) diese Spassmail versendet wurde ... Unser Mi6 (Security Officer läuft Amok :) kann uns da jmd einen Tipp geben? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 Moin, dann schau doch ins SMTP-Protokoll. Dort wurde die IP-Adresse des einliefernden "Servers" protokolliert. Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 2. April 2012 Autor Melden Teilen Geschrieben 2. April 2012 @ Robert. das habe ich nichts zu finden ... ;( Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 2. April 2012 Melden Teilen Geschrieben 2. April 2012 Moin, dann würde ich sagen, dass die Mail nicht direkt über Exchange kam. Ansonsten ist das mit den spärlichen Informationen nur Glaskugellesen... Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 2. April 2012 Autor Melden Teilen Geschrieben 2. April 2012 (bearbeitet) spärlich? welche Infos brauchste noch? is klar, dass die "Spammail" nicht via SMTP kam .. deswegen kann ich ja auch nirgends was finden.. unser CAS Array- NLB besetht aus 2 Nodes (eine virt IP Adresse) ich verbinde mich auf die virt. IP Adresse mit telnet "IP" 25, dann mit helo ... und diese Mail ...taucht eben nirgends auf... (funktioniert aber nur intern) bearbeitet 2. April 2012 von |Haselier| ... Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 2. April 2012 Melden Teilen Geschrieben 2. April 2012 Moin, na ja, wichtig wäre zum Beispiel die Info, wo die Rolle Hub Transport läuft - CAS ist für SMTP unwichtig. Dann schreibst Du "taucht eben nirgends auf". Glaube ich nicht, steht mindestens im SMTP-Protokoll, wenn das Ding bei Exchange landet. Kann ich aber nicht nachvollziehen, weil ich nicht mal weiß, ob Du da überhaupt aufrufst (eine Kopie des gesamten telnet-Vorganges wäre sinnvoll). Zum Beispiel kann ein normaler Client in der Standard-Installation nicht mit Telnet (so einfach) senden. Was wurde bei Euch verändert (bzw. wie sind die Empfangs-Connectoren konfiguriert). Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 2. April 2012 Autor Melden Teilen Geschrieben 2. April 2012 beide server haben multimode rollen ( MB, HT, CAS ) da ich hier keine Bilder hochladen kann, der SMTP Versand morgen ... wg Recive Connector poste ich morgen die Infos ... Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 2. April 2012 Melden Teilen Geschrieben 2. April 2012 beide server haben multimode rollen ( MB, HT, CAS ) Da du oben was von DAG schreibst, musst Du ja einen Hardware-Loadbalancer davor haben. Der könnte auch wieder was filtern. Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 3. April 2012 Autor Melden Teilen Geschrieben 3. April 2012 all unsere W7 CLients in der domäne Contoso haben x64 w7 und sind leider MIT Telnet... Receive connector haben wir mehrere, aber derjenige welcher die Mails empfängt .. reiter Network: alles was über Port 25 reinkommt Reiter Authentication: kein TLS, Basic, ExCh Server, ... Reiter Permission: Anonymous (da scanner, Mufus ...das brauchen) Exchange server ... Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 3. April 2012 Melden Teilen Geschrieben 3. April 2012 Anonymous (da scanner, Mufus ...das brauchen) Das kann man aber auf die IP-Adresse der Geräte einschränken. LG Günther Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 3. April 2012 Melden Teilen Geschrieben 3. April 2012 Moin, mit der Einstellung kann jeder einliefern, wie Günther schon schreibt, kann man das mit Remote-IP-Adresse einschränken. Nichtsdesto trotz protokolliert der SMTP-Connector aber die Verbindungen inkl. IP-Adressen. Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 3. April 2012 Autor Melden Teilen Geschrieben 3. April 2012 1- sind das altlasten 2- sind das über 1000 Geräte 3- hilft mir das NICHT zu meinem Basis Problem 4- Steht definitiv nichts im SMTP log, leider ... weitere Ideen ,außer auf allen CLients Telnet zu sperren? die gegebenheiten sind n un mal leider so ...undd as open relay existiert leider immer noch? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 3. April 2012 Melden Teilen Geschrieben 3. April 2012 Moin, Telnet sperren hilft Dir ja nicht wirklich, weil es nicht das Problem löst. Dein Basis-Problem ist NICHT, dass Client Spam senden - Dein Problem ist, dass sie Spam senden DÜRFEN. Und das bekommst Du nicht mit Aktionen beim Client geregelt. Lies den letzten Satz in meiner Signatur und denk nach mal darüber nach, das Problem richtig anzugehen (wobei ich immer noch nicht wirklich verstanden habe, was Du wirklich für ein Problem hast, Du aber vermutlich auch nicht). Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 3. April 2012 Autor Melden Teilen Geschrieben 3. April 2012 mein Problem findest du im ersten posting mein freund! es soll ein anonymer Email Versand unterbunden werden ... selbst im test "maintanance" als der haken im smtp connector bei Anonymous entfernt wurde, war ein SMTP versand via Helo möglich... und dir als MVP sollte bewusst sein, was über Helo - smtp Versand via telnet möglich ist ... genau das ist mein Problem Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 3. April 2012 Melden Teilen Geschrieben 3. April 2012 Spam-Versender nutzen kein Telnet und brauchen das auch nicht. Die brauchen ein offenes Relay. Und das musst Du schließen. Wenn Du daheim zu viel Werbung bekommst, kommst Du ja auch nicht auf die Idee, dem Briefträger die Tasche wegzunehmen, sondern hängst ein Verbot an Deinen Briefkasten. Also: Mach das Relay zu und halte Dich nicht mit Telnet auf. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.