Ruebenmaster 10 Geschrieben 31. Dezember 2003 Melden Teilen Geschrieben 31. Dezember 2003 Hallo Leute, wir haben einen Exchange Server 2k in unserem Netzwerk. Er kann von Aussen nur über Firewall und SMTP-Relay erreicht werden. Seit einigen Tagen nun, wird er total zugemüllt mit Mails. In einer Stunde prasseln ca. 7000 Mails auf ihn ein, was ihn natürlich in die Knie zwingt. Ich habe deshalb den Internetzugang gesperrt. Aber die Mails, die ihn als SMTP Remoteconnector missbrauchen, donnern weiter auf meinen "Smithers", so heisst er, ein. Ich habe schon mehrere Versuche gestartet herauszufinden, woher die Mails kommen, leider ohne Erfolg. Sicher ist nur, es kommt aus dem LAN. Gibt es Möglichkeiten herauszufinden, woher die vielen Mails, die hauptsächlich .tw am Ende als Adresse tragen, kommen? Wie kann ich dem Exchange Server sagen, dass er keinerlei SMTP Remotedienste leisten soll... Ich habe jetzt, wegen Betriebsurlaub, alle Server usw. heruntergefahren und auch den Internetanschluss physikalisch gekappt. Hat jemand eine Idee? Viele Grüsse aus dem Kraichgau DER Rübenmaster Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 31. Dezember 2003 Melden Teilen Geschrieben 31. Dezember 2003 Sicher ist nur, es kommt aus dem LAN Wenn es aus dem LAN kommt, dann ist es doch einfach den Absender zu finden. Für einen Moment den Netzwerkmonitor mitlaufen lassen, oder ethereal (aus dem Internet) und schon hat man die Absender-IP. grizzly999 Zitieren Link zu diesem Kommentar
Ruebenmaster 10 Geschrieben 31. Dezember 2003 Autor Melden Teilen Geschrieben 31. Dezember 2003 Ich werde versuchen einen Netzwerkmonitor mitlaufen zu lassen. Da ich kein Profi bin in solchen Dingen muss ich mal schauen, wie man das macht. Ethereal ist ausgeschlossen, das darf ich auf dem Firmenex nicht installieren. Politische Entscheidung.... Danke Rübenmaster Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 31. Dezember 2003 Melden Teilen Geschrieben 31. Dezember 2003 Du musst den NM zuerst nachinstallieren, unter Eigenschaften Entzwerkumgebung/Erweitert/Optionale Netzwerkkomponenten/Verwaltungs- und Überwachungsprogramme (CD wird verlangt). Dann in der Verwaltung den NM starten, die NIC aussuchen, die überwacht werden soll (MAC-Adresse vorher raussuchen). Wenn du Probleme bei der Auswertung haben solltest, kannst du mir eine Probe zuschicken. grizzly999 Zitieren Link zu diesem Kommentar
hase6000 10 Geschrieben 3. Januar 2004 Melden Teilen Geschrieben 3. Januar 2004 Hi Rübenmaster, falls Du das smtp-logging entsprechend konfiguriert hast, kansst Du in den smtp-log-files die IP-Adresse des sendenden Servers finden. In den Mailheadern sind diese ebenfalls zu finden. Falls Du bemerkst, dass gerade im Augenblick gespamt wird, kannst Du im Exchange System-Manager unter dem virtuellen smtp-server die Current-Sessions ankucken, auch hier steht eine Ip-Adresse. Der beste Schutz scheint mir zunächst mal authenticated-smtp zu sein, dann werden ur noch Mails angenomen, wenn sich der Server zuständig "fühlt", oder der Sender sich anmeldet. Gruss Gerd Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.