michelo82 12 Geschrieben 22. März 2013 Melden Teilen Geschrieben 22. März 2013 Hallo, und zwar haben wir in letzter Zeit ein Spamproblem. Eine Mitarbeiterin hat mir folgenden Screenshot geschickt: [bild von Dr.Melzer enfernt. Bitte kopiere den text des Mailheaders rein. Bei dem Bildservice den du nutzt kommt nur werbespam] Die Mailkonten liegen (trotz Exchange) bei einem Externen Dienstleister und werden via POP3-Connector vom Exchange abgeholt. Ich weiß, dass man das so nicht macht, jedoch wird sich hier heftig gewehrt den MX-Record umzulegen. Naja, egal. Verschickt irgend ein Schadprogramm auf einem Mitarbeiter-PC die Spammails, oder wurde so ein POP3 Postfach gekapert? Wie komme ich der Sache schnellstmöglich auf die schliche? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. März 2013 Melden Teilen Geschrieben 22. März 2013 Da hilft nur eines: Suchen. SMTP-Logs anschauen (Exchange), Provider ansprechen, Firewall dichtmachen, damit Clients keine Mails senden können, usw. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 22. März 2013 Melden Teilen Geschrieben 22. März 2013 Hi, dazu müsstest du dir die SMTP Logs des Exchange und des Hosters ansehen. Ich würde allerdings auf folgendes tippen: http://de.wikipedia.org/wiki/Backscatter_%28E-Mail%29 Mit welchen Argumenten wird sich denn gegen eine saubere SMTP Zustellung gewehrt? Gruß Jan Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 22. März 2013 Autor Melden Teilen Geschrieben 22. März 2013 Hallo vielen Dank schon mal für die Tipps! Wenn es sich nur um "Backscatter" handelt wäre das natürlich gut. Mit welchen Argumenten wird sich denn gegen eine saubere SMTP Zustellung gewehrt? Nun zum einem wird befürchtet, dass ein Ausfall des Exchange gleichzeitig bedeutet, dass keine Mails mehr Empfangen werden können. Sie werden ja draußen im POP3 Postfach vorgehalten... Das, dass alles Schwachsinn ist, ist mir bewusst. Achja, wir senden die Mails auch über den Smarthost, also den Provider. Ist das eigentlich zu empfehlen? Somit könnte mir ja der Provider sicherlich auch helfen, da er ja auch irgendwelche LOG's hat, wenn wir über ihn Mails versenden. Ich werde jetzt als erstes mal die Kennwörter der POP3-Konten beim Provider ändern! Übrigens hatte ich das vorhin nicht erwähnt. Aber selbst die Telekom hat uns schon ein Schreiben geschickt, dass unsere öffentliche IP Spam verschickt (waren aber wohl nur eine Hand voll Mails)! Das ganze war meistens Nachts und am Wochenende. Das sind zumindesten die Mitarbeiter-PC aus. Nur die Server laufen dann noch... :( Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. März 2013 Melden Teilen Geschrieben 22. März 2013 Nun zum einem wird befürchtet, dass ein Ausfall des Exchange gleichzeitig bedeutet, dass keine Mails mehr Empfangen werden können. Sie werden ja draußen im POP3 Postfach vorgehalten... Wenn der Exchange im Haus ausfällt, bekommst Du natürlich keine Mails mehr. Verloren gehen sie trotzdem nicht, sie konnten einfach nicht zugestellt werden. Ist wie beim Paketboten, der kommt einfach nochmal, genauso geht das mit der Zustellung der Mails. Achja, wir senden die Mails auch über den Smarthost, also den Provider. Ist das eigentlich zu empfehlen? Somit könnte mir ja der Provider sicherlich auch helfen, da er ja auch irgendwelche LOG's hat, wenn wir über ihn Mails versenden. Du hast doch selbst Logs auf dem Exchange Server, dort kannst Du auch prüfen. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. März 2013 Melden Teilen Geschrieben 22. März 2013 Moin, wenn Exchange ausgefallen ist, können so oder so keine Mails empfangen werden. Und da sendende Server eine Warteschlange haben, halten die Mails mehrere Stunden vor. POP3-Abholen hat nur Probleme und ist extrem unpraktisch. Nimm den aktuellen Fall, der ohne POP-Abholen deutlich einfacher zu lösen wäre. Und für "Spam senden" noch ein Tipp: Firewall dichtmachen, so dass nur der Exchange Mails nach draußen senden kann (und am besten so, dass er nur zum Provider schicken kann). Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 22. März 2013 Autor Melden Teilen Geschrieben 22. März 2013 (bearbeitet) Danke! Ich mach mich ran...und melde mich dann wieder, wenn ich was neues weiß... EDIT: Soo laut Receive-Log kam die Mail ganz normal über das POP3 Konto rein...(klingt nach Backscatter) An die Domain @nam.com.ua hat niemand was über den Exchange gesendet. Also scheint es nicht der Exchange zu sein. [PS] C:\Windows\system32>Get-MessageTrackingLog -Sender postmaster@nam.com.ua | fl RunspaceId : f07da7cb-8680-4196-a8a6-ac0eb3a4e5af Timestamp : 22.03.2013 03:23:24 ClientIp : 132.147.160.25 ClientHostname : exchange-pop3-connector.com ServerIp : 132.147.160.25 ServerHostname : exch01 SourceContext : 08CFE2CDC5D3D015;2013-03-22T02:23:22.727Z;0 ConnectorId : EXCH01\Relaying für POPCon Source : SMTP EventId : RECEIVE InternalMessageId : 829188 MessageId : <123b89ac-765b-44ed-a664-d9f4c14e82de@nam.com.ua> Recipients : {m.itarbeiter@firma.de} RecipientStatus : {} TotalBytes : 41660 RecipientCount : 1 RelatedRecipientAddress : Reference : MessageSubject : ?? ??????? ?????????: Ho?????????? ?p??a ?? ???o?? Sender : postmaster@nam.com.ua ReturnPath : postmaster@nam.com.ua MessageInfo : 00A: NTS: MessageLatency : MessageLatencyType : None EventData : {[FirstForestHop, EXCH01.firma.org]} RunspaceId : f07da7cb-8680-4196-a8a6-ac0eb3a4e5af Timestamp : 22.03.2013 03:23:24 ClientIp : ClientHostname : exch01 ServerIp : ServerHostname : exch01 SourceContext : 08CFE2CDC5D3D017;2013-03-22T02:23:24.617Z;0 ConnectorId : Source : STOREDRIVER EventId : DELIVER InternalMessageId : 829188 MessageId : <123b89ac-765b-44ed-a664-d9f4c14e82de@nam.com.ua> Recipients : {m.itarbeiter@firma.de} RecipientStatus : {} TotalBytes : 42302 RecipientCount : 1 RelatedRecipientAddress : Reference : MessageSubject : ?? ??????? ?????????: Ho?????????? ?p??a ?? ???o?? Sender : postmaster@nam.com.ua ReturnPath : postmaster@nam.com.ua MessageInfo : 2013-03-22T02:23:23.398Z;SRV=EXCH01.firma.org:TOTAL=1|SMR=1 MessageLatency : 00:00:01.4690000 MessageLatencyType : EndToEnd EventData : {[MailboxDatabaseName, mailkonten von firma], [DatabaseHealth, -1]} bearbeitet 22. März 2013 von michelo82 Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 24. April 2013 Autor Melden Teilen Geschrieben 24. April 2013 (bearbeitet) Einige Zeit war es ruhig...nun geht es wieder weiter. Der Exchange ist es nicht. In den Logs sind die Empfänger nirgends aufgeführt. Gibt es irgendwelche indizien für "Backscatter"? -----Ursprüngliche Nachricht----- Von: Mail Delivery Subsystem [mailto:MAILER-DAEMON@mix2.naverex.net] Gesendet: Dienstag, 23. April 2013 17:04 An: Hans Mustermann Betreff: Unzustellbar: Междунаpодные ÑÑ‚aндарты финaнÑовой отчетнoÑти (МСФО) Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen: asieinhumansh@naverex.kiev.ua Die eingegebene E-Mail-Adresse konnte nicht gefunden werden. Überprüfen Sie die E-Mail-Adresse des Empfängers, und versuchen Sie, die Nachricht erneut zu senden. Wenden Sie sich an den Helpdesk, falls das Problem weiterhin besteht. Die folgende Organisation hat Ihre Nachricht zurückgewiesen: [213.169.64.119]. Diagnoseinformationen für Administratoren: Generierender Server: mix2.naverex.net asieinhumansh@naverex.kiev.ua [213.169.64.119] #<[213.169.64.119] #5.1.1 SMTP; 550 5.1.1 <asieinhumansh@naverex.kiev.ua>... User unknown> #SMTP# Ursprüngliche Nachrichtenkopfzeilen: Return-Path: <h.mustermann@firma.com> Received: from server.newvasuki.net (server.newvasuki.net [182.18.11.149]) by mix2.naverex.net (8.Who.Cares/8.Who.Cares) with ESMTP id r3NEvMGP001781 for <asieinhumansh@naverex.kiev.ua>; Tue, 23 Apr 2013 17:57:25 +0300 (EEST) (envelope-from h.mustermann@firma.com) Date: Tue, 23 Apr 2013 18:58:36 +0400 From: =?Windows-1251?B?0W9j8uDi6+Xt6OUg9Ojt4O1jb+Lu6SBv8vfl8u1v8fLoIO9vIOzl5uTz7WFw7uTt++wg8fJh7eRh8PLg7A==?= <h.mustermann@firma.com> Reply-To: =?Windows-1251?B?0W9j8uDi6+Xt6OUg9Ojt4O1jb+Lu6SBv8vfl8u1v8fLoIO9vIOzl5uTz7WFw7uTt++wg8fJh7eRh8PLg7A==?= <h.mustermann@firma.com> X-Priority: 3 (Normal) Message-ID: <565537731.20130423943640@server.newvasuki.net> To: "asieinhumansh@naverex.kiev.ua" <asieinhumansh@naverex.kiev.ua> Subject: =?Windows-1251?B?zOXm5PPt4HDu5O375SDx8mHt5ODw8vsg9OjtYe3x7uLu6SDu8vfl8u1v8fLoICjM0dTOKQ==?= MIME-Version: 1.0 Content-Type: text/html; charset="windows-1251" Content-Transfer-Encoding: 8bit X-Verify-Sender: Address <h.mustermann@firma.com> has been verified (mix2.naverex.net) bearbeitet 24. April 2013 von michelo82 Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 24. April 2013 Melden Teilen Geschrieben 24. April 2013 Ja, hier: Received: from server.newvasuki.net (server.newvasuki.net [182.18.11.149]) bymix2.naverex.net (8.Who.Cares/8.Who.Cares) with ESMTP id r3NEvMGP001781 for <asieinhumansh@naverex.kiev.ua>; Tue, 23 Apr 2013 17:57:25 +0300 (EEST) (envelope-from h.mustermann@firma.com) Die Mail kam von server.newvasuki.net und ging an Server mix2.naverex.net. Wenn das keiner von Euch ist, ist der Absender gefälscht. Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 30. April 2013 Autor Melden Teilen Geschrieben 30. April 2013 Ok, danke. Das ist erleichternd :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.