Mailserver wird angegriffen

[Dutch_OnE 39]

Moin,

 

mein Mailserver mit Exchange 2010, bekommt eine Spamflut mit Anhängen. unbekannt@meinedomain.com schickt tausende Mails an info@meinedomain.com. Habe in der Firewall das Portforwarding rausgenommen (Port 25, 443, 465) damit mein Server nicht mehr erreichbar ist.

 

Was kann ich allgemein dagegen tun? IP Adresse ändern wäre nicht so schön.

 

gruß

DO

[Nobbyaushb 1.471]

Dazu gehören auch immer Quell-IP´s, die findest du in den Logs.

 

Diese IP´s (wahrscheinlich nur eine...) auf deny am Router/Firewall, schon ist Ruhe.

 

Wozu dient der Forward von Port 465?

 

;)

[Dutch_OnE 39]

Gute Frage, bin gerade für jemanden eingesprungen und weiß keine Antwort. So wie ich das aber gesehen habe sind im Exchange Log die Client IP vom Absender unterschiedlich.

 

 

Unterschiedliche Absendernamen und unterschiedliche IP Absenderadressen

bearbeitet 20. September 2017 von Dutch_OnE

[Nobbyaushb 1.471]

Gute Frage, bin gerade für jemanden eingesprungen und weiß keine Antwort. So wie ich das aber gesehen habe sind im Exchange Log die Client IP vom Absender unterschiedlich.

 

 

Unterschiedliche Absendernamen und unterschiedliche IP Absenderadressen

Dann guck doch mal mit Utrace, wozu die gehören, sonst mehrere auf deny - oder eine ganze Range.

 

Musste ich bei mir im Forum so machen.

 

;)

[Dutch_OnE 39]

Hier mal ein Header einer solchen Mail:

 

 

Received: from static.vnpt.vn (14.236.77.29) by rdp.customer.com
 (192.168.1.10) with Microsoft SMTP Server id 14.3.361.1; Wed, 20 Sep 2017
 14:39:32 +0200
MIME-Version: 1.0
Date: Wed, 20 Sep 2017 19:39:39 +0700
X-Priority: 3 (Normal)
From: Wendy Stockdale <Wendy.Stockdale@customer.com>
Subject: Your Payment # 0936
Content-Type: multipart/mixed;
 boundary="------------285493622354197500573101"
Message-ID: <117A31FADCCC176D345233CD558BED6101CFAA0D@BACKROOM>
To: Undisclosed recipients:;
Return-Path: Wendy.Stockdale@customer.com
X-MS-Exchange-Organization-AuthSource: SBS-SERVER.customer.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-SPAMfighter-Result: E-mail blocked (Spam score=100)
X-SPAMfighter-Direction: Inbound
X-SPAMfighter-SPF: None
X-SPAMfighter-Community-Score: 100

[testperson 1.680]

Hi,

 

wie wäre es mit etwas vor dem Exchange, was Anti-Spoofing kann? Oder SPF Records für die eigene Domain und einer SPF Prüfung?

 

Gruß

Jan

[Dutch_OnE 39]

Ich habe einen Spamfighter davor, der blockt auch alles weg, nur sehe ich die guten Mails nicht mehr ankommen.

Habe den Spamfighter so eingestellt, dass er die Mails sofort löscht. Im Exchange Log sehe ich die Spam aber trotzdem noch. Im Postfach natürlich nicht mehr. Schätze das mit dem Exchange Log werde ich so nicht vermeiden können. Muss ich dann wohl durchlaufen lassen.

[NorbertFe 2.035]

Mails löschen ist schlecht. Du musst ablehnen!

Und wenn trotzdem was durchkommt ist halt deine Spamfilterkonfig entweder nicht gut oder es gibt immer mal wieder Wellen die eben schwierig oder nur händisch abzufangen sind.

 

Bye

Norbert

[Dutch_OnE 39]

1und1 hat das alles revidiert.

Speicherplatz auf C war vollgelaufen ... der Klassiker ;)  LOG Dateien gelöscht und jetzt kommen auch die Mails wieder. Warum in der Zwischenzeit nur die Spam Mails zu sehen waren, verstehe ich allerdings nicht.

bearbeitet 20. September 2017 von Dutch_OnE

[NorbertFe 2.035]

Logs gelöscht? Die der dB oder wie?

[Dutch_OnE 39]

Die im Inetpub. Gerade nochmal geprüft. Auf Schlag waren auch die Spams weg, obwohl ich da keinen Zusammenhang sehe.

bearbeitet 20. September 2017 von Dutch_OnE

[NorbertFe 2.035]

OK :) Du kannst, wenn du die IIS Logs nicht brauchst (im Normalfall braucht man die sowieso nicht), auch im IIS einfach das Logging komplett deaktivieren.