eventID 4006 MSExchangeTransport

[xtragood 10]

Guten morgen,

 

Exchange Server eventlog:

 

- eventID: 4006

- source: MSExchangeTransport

- Kategorie: Verbindungsmanager

- Typ: Warnung

- Beschreibung: Fehler bei der Nachrichtenübermittlung an Host '<IP>' während der Übermittlung an die Remotedomäne '<Domäne>' aus folgendem Grund: Die Verbindung wurde vom Remotehost getrennt.

 

- Häufigkeit: 20-30 Mal am Tag

 

Immer dieselbe IP und Domäne...hab bis jetzt keine Lösung im Web gefunden (Google, EventID.net)

Weiß da jemand ne Lösung?

[GuentherH 61]

Hi.

 

Werden die Mails über einen Smart Host oder DNS versendet. ?

Wird eine feste oder dynamische IP verwendet ?

Hast du schon versucht über eine Telnet Session eine Mail an diese Domain zu versenden ?

 

LG Günther

[xtragood 10]

- Was ist ein 'Smart Host' (Begriff noch nie gehört)

- Feste IP!

- Kurze Vorgehensweise (mail über telnet noch nie gemacht)

[GuentherH 61]

Hi.

 

Smart Host ist der SMTP Host des Providers über den du deine E-Mail versenden kannst.

 

telnet ip_remote_domain 25

220 es meldet sich dann der mail server der remote_domain

helo name_des_mail_server

250 mail server der remote_domain

mail from:user@deine.firma.de

250 originator.....

rcpt to:user@remote_domain.de (hier muss ein existierender User verwendet werden)

250 recipient.....

data [ENTER]

354 start mail input

Text eingeben[ENTER]

.[ENTER]

250 message accepted

 

Sollte der Versand über die Telnet Session klappen, liegt der Fehler am Exchange, ansonsten an der Remote Domain (z.B. es werden keine E-Mail angenommen, wenn der FQDN nicht ok ist ect.)

 

 

LG Günther

[xtragood 10]

Vielleicht noch ne Info...

 

- Aus unserer Domäne versucht kein User die in der eventID angegebene Domäne zu erreichen, es erscheint lediglich die eventID und ich weiß nicht, woher das kommt...

[GuentherH 61]

Hi.

 

Jetzt wird es natürlich interessant :)

 

Ist dieses Domain bekannt, oder einfach irgendeine ?

Hast du schon die SMTP Protokollieung aktiviert, damit man den Ansender der ominösen E-Mail erkennen kann ?

Ist es möglich, dass ein Arbeitsplatz mit einem Virus verseucht ist ?

[xtragood 10]

Die Fremddomäne lautet (ich poste das jetzt einfach mal unverschämt): adversite.com und deutet somit auf eine Such-/Link-Maschine

 

SMTP-Protokollierung war auf "mittel"...jetzt auf "max"

 

Virus kann ich ausschließen...jeder Client ist mit VirusScan Enterprise per zentralem AutoUpdate bestückt...

[GuentherH 61]

Hi.

 

Also das deutet auf irgendwelche Adware oder so ähnlich hin.

 

Einfach mal das Protokoll beobachten und herausfinden wer da der Übeltäter ist.

 

Würde mich freuen, wenn du uns über das Ergebnis Bescheid gibst.

 

LG Günther

[xtragood 10]

Das ist kein Ding...

 

Ich beobachte das eventLog schon seit Tagen, da ich den ganzen Einträgen dort nicht traue und paranoid wie ich bin, überall Sicherheitslücken vermute :D :D :D

[xtragood 10]

Hallo nochmal.

 

Nach weiterer Begutachtung ist mir aufgefallen, daß die IP und Domäne des auftretenden Problems sich im 1-2 tage Rythmus ändert.

Leider weiß ich immer noch nicht, woher oder wer diese Anfragen sendet, die dann von den Remotehosts zurückgewiesen werden...