xtragood 10 Geschrieben 13. August 2004 Melden Geschrieben 13. August 2004 Guten morgen, Exchange Server eventlog: - eventID: 4006 - source: MSExchangeTransport - Kategorie: Verbindungsmanager - Typ: Warnung - Beschreibung: Fehler bei der Nachrichtenübermittlung an Host '<IP>' während der Übermittlung an die Remotedomäne '<Domäne>' aus folgendem Grund: Die Verbindung wurde vom Remotehost getrennt. - Häufigkeit: 20-30 Mal am Tag Immer dieselbe IP und Domäne...hab bis jetzt keine Lösung im Web gefunden (Google, EventID.net) Weiß da jemand ne Lösung? Zitieren
GuentherH 61 Geschrieben 13. August 2004 Melden Geschrieben 13. August 2004 Hi. Werden die Mails über einen Smart Host oder DNS versendet. ? Wird eine feste oder dynamische IP verwendet ? Hast du schon versucht über eine Telnet Session eine Mail an diese Domain zu versenden ? LG Günther Zitieren
xtragood 10 Geschrieben 13. August 2004 Autor Melden Geschrieben 13. August 2004 - Was ist ein 'Smart Host' (Begriff noch nie gehört) - Feste IP! - Kurze Vorgehensweise (mail über telnet noch nie gemacht) Zitieren
GuentherH 61 Geschrieben 13. August 2004 Melden Geschrieben 13. August 2004 Hi. Smart Host ist der SMTP Host des Providers über den du deine E-Mail versenden kannst. telnet ip_remote_domain 25 220 es meldet sich dann der mail server der remote_domain helo name_des_mail_server 250 mail server der remote_domain mail from:user@deine.firma.de 250 originator..... rcpt to:user@remote_domain.de (hier muss ein existierender User verwendet werden) 250 recipient..... data [ENTER] 354 start mail input Text eingeben[ENTER] .[ENTER] 250 message accepted Sollte der Versand über die Telnet Session klappen, liegt der Fehler am Exchange, ansonsten an der Remote Domain (z.B. es werden keine E-Mail angenommen, wenn der FQDN nicht ok ist ect.) LG Günther Zitieren
xtragood 10 Geschrieben 13. August 2004 Autor Melden Geschrieben 13. August 2004 Vielleicht noch ne Info... - Aus unserer Domäne versucht kein User die in der eventID angegebene Domäne zu erreichen, es erscheint lediglich die eventID und ich weiß nicht, woher das kommt... Zitieren
GuentherH 61 Geschrieben 13. August 2004 Melden Geschrieben 13. August 2004 Hi. Jetzt wird es natürlich interessant :) Ist dieses Domain bekannt, oder einfach irgendeine ? Hast du schon die SMTP Protokollieung aktiviert, damit man den Ansender der ominösen E-Mail erkennen kann ? Ist es möglich, dass ein Arbeitsplatz mit einem Virus verseucht ist ? Zitieren
xtragood 10 Geschrieben 13. August 2004 Autor Melden Geschrieben 13. August 2004 Die Fremddomäne lautet (ich poste das jetzt einfach mal unverschämt): adversite.com und deutet somit auf eine Such-/Link-Maschine SMTP-Protokollierung war auf "mittel"...jetzt auf "max" Virus kann ich ausschließen...jeder Client ist mit VirusScan Enterprise per zentralem AutoUpdate bestückt... Zitieren
GuentherH 61 Geschrieben 13. August 2004 Melden Geschrieben 13. August 2004 Hi. Also das deutet auf irgendwelche Adware oder so ähnlich hin. Einfach mal das Protokoll beobachten und herausfinden wer da der Übeltäter ist. Würde mich freuen, wenn du uns über das Ergebnis Bescheid gibst. LG Günther Zitieren
xtragood 10 Geschrieben 13. August 2004 Autor Melden Geschrieben 13. August 2004 Das ist kein Ding... Ich beobachte das eventLog schon seit Tagen, da ich den ganzen Einträgen dort nicht traue und paranoid wie ich bin, überall Sicherheitslücken vermute :D :D :D Zitieren
xtragood 10 Geschrieben 16. August 2004 Autor Melden Geschrieben 16. August 2004 Hallo nochmal. Nach weiterer Begutachtung ist mir aufgefallen, daß die IP und Domäne des auftretenden Problems sich im 1-2 tage Rythmus ändert. Leider weiß ich immer noch nicht, woher oder wer diese Anfragen sendet, die dann von den Remotehosts zurückgewiesen werden... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.