-Haselier- 10 Geschrieben 23. Juli 2012 Autor Melden Teilen Geschrieben 23. Juli 2012 Hallo RobertWi, Get-ExchangeServer | fl Name,ServerRole Name : server6 ServerRole : Mailbox, ClientAccess, HubTransport Name : server5 ServerRole : Mailbox, ClientAccess, HubTransport Get-ReceiveConnector | fl Name,Server,Bindings,RemoteIPRanges,PermissionGroups,AuthMechanism,ProtocolLoggingLevel Name : Default consoto06A Server : consoto06A Bindings : {10.2x.x.x:25} RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} PermissionGroups : AnonymousUsers, ExchangeUsers, ExchangeServers, ExchangeLegacyServers AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer ProtocolLoggingLevel : None Name : Client consoto06A Server : consoto06A Bindings : {:::587, 0.0.0.0:587} RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} PermissionGroups : ExchangeUsers AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS ProtocolLoggingLevel : None Name : Default consoto05A Server : consoto05A Bindings : {10.2x.x.x:25} RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} PermissionGroups : ExchangeUsers, ExchangeServers, ExchangeLegacyServers AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer ProtocolLoggingLevel : None Name : Client consoto05A Server : consoto05A Bindings : {:::587, 0.0.0.0:587} RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} PermissionGroups : ExchangeUsers AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS ProtocolLoggingLevel : None Name : SMTP IK** to consoto05A Server : consoto05A Bindings : {10.2x.x.x:25} RemoteIPRanges : {10.2x.x.x....} PermissionGroups : AnonymousUsers, ExchangeServers AuthMechanism : None ProtocolLoggingLevel : None Name : SMTP IK** to consoto06A Server : consoto06A Bindings : {10.x.x.x:25} RemoteIPRanges : {10.2x.x.x...} PermissionGroups : AnonymousUsers, ExchangeServers AuthMechanism : None ProtocolLoggingLevel : None Name : SMTP internalrelay to consoto05A Server : consoto05A Bindings : {10.2x.x.:25} RemoteIPRanges : {10.2x.x....} PermissionGroups : AnonymousUsers, ExchangeServers, Custom AuthMechanism : ExternalAuthoritative ProtocolLoggingLevel : None Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 23. Juli 2012 Autor Melden Teilen Geschrieben 23. Juli 2012 Get-ReceiveConnector | Get-ADPermission | Where-Object { $_.AccessRights -like "*ExtendedRight*" -and $_.IsInherited -eq $false } | Sort-Object Identity,User | ft -AutoSize steht alles auf false ... Wegen dem Maintenance Script, was genau meinst du mit MSFT-Empfehlung?! Wo finde ich einen entsprechenden Link? gruss Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 24. Juli 2012 Melden Teilen Geschrieben 24. Juli 2012 Moin, also ich sehe da, dass Du zwei Server hast, auf denen alle Rollen laufen, auch die Transport-Rolle. Nichts ungewöhnliches. Wie bereits oben erwähnt, musst Du die Protokollierung auf ALLEN Connectoren aktiveren. Da das bei Dir einige sind, hilft die EMS: "Get-ReceiveConnector | set-ReceiveConnector -ProtocolLoggingLevel verbose". Danach protokollieren alle Receivconnectoren und Du findest im Protokoll, über welchen Connector der "Angreifer" rein kommt und seine Mails versendet. Da aber alle Connectoren, die von "außerhalb" empfangen, mit Authentifizierung arbeiten, denke ich, dass der Angreifer über einen gehackten Account mit geknacktem Password kommt. Mit Telnet ist ein Fakemail-Versand je nach Konfig der Connectoren und Zugangdaten/Ip-Adressen möglich. Mehr kann ich aber nicht sagen, da Du einige Infos (z.B. die vom letzten Befehl) nicht lieferst und auch nicht wirklich genau schreibst, was Du unter "Fake Mail" verstehst. Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 24. Juli 2012 Autor Melden Teilen Geschrieben 24. Juli 2012 Hallo, es kommt kein "angreifer" rein, sondern domänen intern, kann man sich auf das CAS conecten und via smtp den absender fälschen und mails intern versenden und genau, dass wird nirgends geloggt.. das ist mein Problem ...;) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 24. Juli 2012 Melden Teilen Geschrieben 24. Juli 2012 Natürlich wird es nicht geloggt, weil die Protokollierung auf allen Connectoren deaktiviert ist. Aber das probiere ich nun fast zwei Seiten lang Dir zu erklären. Und ob und wer in der Lage ist, den Absender zu fälschen, könnte man mit meinem dritten Befehl von oben sehen (oder zumindest einen Ansatz dafür bekommen). Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 24. Juli 2012 Autor Melden Teilen Geschrieben 24. Juli 2012 mir gehts nicht um das Logging zum x mal! mir gehts darum das ein FAKE mail versand möglich ist... der dritte befehl ist viel zu lange um es hier zu posten, ich habe keine Option gesehen Anhange an eine thrad zu hängen. Zitieren Link zu diesem Kommentar
NorbertFe 1.980 Geschrieben 24. Juli 2012 Melden Teilen Geschrieben 24. Juli 2012 Aber das probiere ich nun fast zwei Seiten lang Dir zu erklären. Off-Topic:Bewundernswerterweise :) Bye Norbert Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 24. Juli 2012 Autor Melden Teilen Geschrieben 24. Juli 2012 @ Norbert... ein wirklich hilfreicher Eintrag... Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 24. Juli 2012 Melden Teilen Geschrieben 24. Juli 2012 Ok, dann gibt es noch als letzte Info: Schau Dir die Berechtigungen aus meinem Befehl drei an. Such die raus, die nicht vererbt sind und ExtendedRights haben. Danach schau Dir die Berechtigungen mit ADSI-Edit auf dem Connector an und suche nach Leuten, die die Berechtigung "Accept any Sender" hat. Diese Leute können den Absender frei wählen. Und auf keinen Fall die Berechtigung bei irgendwelchen administrativen oder Exchange-Gruppen entfernen. Zitieren Link zu diesem Kommentar
-Haselier- 10 Geschrieben 24. Juli 2012 Autor Melden Teilen Geschrieben 24. Juli 2012 klasse idee, danke.. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.