Ex2003 über 3000 Warteschlangen, SPAM

[h-d.neuenfeldt 21]

Hallo Zusammen,

 

mein Exchange 2003 zeigt mir über 3000 Warteschlangen für ausgehende Mails an.

Eine erste Sichtung ergibt, dass da Spam verteilt wird.

Mein Exchange ist definitiv kein Relay für Externe. Dies wird regelmäßig durch mich und meinen Supporter geprüft.

Daher gehe ich davon aus, dass eine interne Maschine den Dreck verteilt.

 

Um den Schaden halbwegs klein zu halten und nicht auf irgendwelchen Blacklists zu landen habe ich im Ordner Mailroot\VS 1\Queue bereits die entsprechenden Dateien gelöscht.

 

Leider weiß ich nicht an welcher Stelle ich nachgucken muss um festzustellen welche IP den Dreck beim Exchange abgegeben hat.

 

Könnt ihr mir weiterhelfen ?

 

Viele Grüße aus dem WE

Hans-Dieter

 

[NorbertFe 2.041]

Falls du das SMTP logging nicht schon an hättest, wirst du nix mehr finden. Ansonsten wäre die Frage, ist der smtp direkt aus dem Internet heraus erreichbar? Falls ja ist mit hoher Wahrscheinlichkeit ein Account mit erratenem Passwort zu Einlieferung genutzt worden.

[h-d.neuenfeldt 21]

ich habe im Exchange bei "Eigenschaften für <Servername>" --> Karteireiter Diagnostikprotokoll --> Dienste MSExchangeTransport --> SMTP-Protokoll drinstehen "MAXIMUM"

[NorbertFe 2.041]

Das ist aber das diagnoseprotokoll. Das smtp log findest du auf dem virtuellen smtp Server. Dran denken, dass das Log kein rollierendes ist.

[h-d.neuenfeldt 21]

das Ereignisprotokoll reicht nicht mehr bis zum Einlieferungszeitpunkt zurück, für das nächste mal hab ich die max. Größe vergrössert.

das SMTP-Log liefert 4 "Formate" :

Microsoft IIS

NCSA Allgemein

ODBC

W3Cerweitert

 

Welches  ist für einen solchen Fall Sinnvoll ? ( Leider war keins davon eingeschaltet )

[NorbertFe 2.041]

Standard ist ja irgendwas ausgewählt. Das nimmst du einfach. Und nicht vergessen alles (relevante) abzuhaken.

[h-d.neuenfeldt 21]

Microsoft IIS als Format genommen, Optionen gab es keine zum anhaken

mal sehen, ob der Client sich noch einmal meldet ..

DANKE

[Daniel -MSFT- 129]

Müsste man in einer der Mails in der Warteschlange nicht auch im Header sehen können, woher die kommt? Nicht das es Backscatter ist.

 

Du holst die Mails nicht via POP3 ab? Du hast nicht den Gastaccount in der Domäne oder auf dem Server aktiviert? Hast Du die Empfängerfilterung konfiguriert und aktiviert? http://support.microsoft.com/kb/823866/de

[h-d.neuenfeldt 21]

Pop3 : Nein

Gastaccount : Nein

Empfängerfilterung : Nein

 

Die einzige Möglichkeit über meinen Exchange zu senden sind :

- Mail kommt aus meinem internen Netzwerk

- Mail wird nach Userauthentifizierung abgesendet

[NorbertFe 2.041]

Doch, auf dem zweiten Reiter muss man abhaken, was geloggt werden soll.

[Daniel -MSFT- 129]

Empfängerfilterung : Nein

 

Dann konfigurier die mal richtig und mach die an. Damit nimmst Du nicht Mails an unbekannte Empfänger mehr an und sendest keine NDRs für diese Mails. Das nutzen Spammer auch zur Zustellung

[NorbertFe 2.041]

Ist denn überhaupt meine Frage geklärt, ob vor dem Exchange noch was steht?

[h-d.neuenfeldt 21]

Echange : steht direkt im Internet

 

Logging : Ich finde da nichts zum Anhaken, ich hätte gerne ein Bildhier rein gesetzt, aber aus irgendeinem Grund geht das nicht ..

@Norbert : Vielleicht kannst du ein Bild reinhängen, damit ich verstehe wo ich suchen muss ?

[NorbertFe 2.041]

Www.google.de?

[h-d.neuenfeldt 21]

"Dann konfigurier die mal richtig und mach die an. Damit nimmst Du nicht Mails an unbekannte Empfänger mehr an und sendest keine NDRs für diese Mails"

 

????

Wie unterscheide ich denn einen Spamer von einem User der von zu Hause aus auf den Exchange zugreift ?

Beide kommen doch mit einer IP und vermeintlich korrekten Anmeldung bei mir an und senden E-Mails an Adressen ausserhalb meines Zuständigkeitsbereiches.

@Norbert :

aus dem von dir verlinkten Text : :"Als Protokollformat wählen Sie W3C-erweitert."

ok, da war mein Irrtum, ich habe Microsoft IIS genommen, weil es das erste Protokol in der Auswahlliste war...