Grosses Problem mit Spam Mails / Exchange 5.5

[Darksun777 10]

Hallo zusammen,

 

wir haben hier bei uns in der Firma ein grosses Problem mit unserem Mailserver.

Seit ca. 3 Tagen verschickt jemand unter unserer Firmendomain massenhaft Spammails (ca. 2000 Stück pro Tag)

 

Wir bekommen dadurch die ganzen Unzustellbarkeitsberichte zurückgeschickt. Manchmal kommen so viele auf einmal, das der Mailserver (Exchange 5.5) auf 100% rödelt.

 

Jetzt meine Frage: kann ich IRGENDWAS dagegen tun ?

 

Kann man irgendwie den Verursacher der Spam-mails feststellen ?

 

Ich wäre für jeden Tip dankbar, da das Problem schon bis zur Geschäftsleitung vorgedrungen ist .. und die wollen Lösungen.

 

Please Help...

 

Gruesse

[Velius 10]

Hallo Darksun777

 

Mein Vorschlag wäre: Anti-Spam Software?

 

...http://www.gfi.com/mes/......

 

 

oder nach "Exchange spam" googeln, da wimmelts nur so von Anwendungen.

 

Möglicherweise gibt's auch Exchange Boardmittel um sowas zu verhindern, fällt mir aber nicht ein/kenne ich nicht!

 

Gruss

Velius

[Darksun777 10]

Hallo,

 

das Problem ist, das es sich ja "nur" um Unzustellbarkeitsberichte handelt.

Das heisst, der Absender der Berichte ist in diesem Fall unser lokaler Administrator. In der Mail steht dann z.B. folgendes:

 

-----------

 

Die folgenden Empfänger haben die angefügte Nachricht nicht erhalten. Die Gründe dafür sind bei jedem Empfänger angegeben:

 

<cesarodonnell_fq@unsere_domain.de> cesarodonnell_fq@unsere_domain.de

MSEXCH:IMS:IKP:EXCHANGE:MAILSERVER 0 (000C05A6) Unbekannter Empfänger

 

Die Nachricht, die diese Benachrichtigung verursachte, war:

 

-----------

 

Im Anhang der Mail befindet sich dann die eigentliche Spam-Mail.

 

Ich kann diese Nachrichten nicht filtern, da ich ja die "echten" Unzustellbarkeitsberichte noch empfangen will.

 

Im obigen Beispiel hat also jemand eine Mail mit dem Absender

cesarodonnell_fq@unsere_domain.de an irgendeine Adresse verschickt. Die Adresse existiert aber nicht und der betreffende externe Mailserver sendet einen Unzustellbarkeitsbericht an unsere Domain zurück, also wiederum an cesarodonnell_fq@unsere_domain.de .

Da es diesen Empfänger bei uns aber natürlich nicht gibt, landet das Teil im Admin-Postfach.

 

 

Es wäre sehr wichtig für uns das wir irgendwie den Verursacher ermitteln können, aus rechtlichen Gründen.

Wenn wir durch die Spamerei auf irgendwelchen Blacklists landen geht das ganze ja in Richtung Rufschädigung unserer Firma... :shock:

 

btw, unser Server steht in einer DMZ und erlaubt kein Relaying, d.h. der Versand der Spam-Mails muss auf einem anderen (ausländischen?) Server erfolgen...

[Velius 10]

Hallo

 

:)

 

Die Software ist auch nur gedacht, um euch vor Spammail zu schützen.

 

Du sagst, dass ihr Relaying abgeschaltet habt, dann müsste der vermeintliche Spammer aus eurer Domäne kommen. Im Klartext heisst doch das, dass irgend eine Mailbox massiv anwachsen müsste (gesendete Objekte). Allerdings würde ich eher auf einen Virus Tippen, da die Adresse offensichtlich gespooft wird.

 

 

Irgendwie fällt mir das schwer, einen logischen zusammenhang zu erkennen.

 

Wie seit ihr vor Viren geschützt?

 

Gruss

 

 

P.S.: Das mit der DMZ ist ja schön, aber Relaying kann man am besten verhindern, indem man SMTP Authentifizierung einschaltet.

Wie sieht's denn mit den Logs auf der Firewall aus, da müsste doch was drin sein?

[Darksun777 10]

Nein, das Spamming findet definitiv nicht von unserer Domain aus statt.

 

Der Zusammhang ist wie ich oben beschrieben habe.. Du kannst doch von jedem Mailserver aus, der Relaying erlaubt, Mails mit beliebigem Absender verschicken.

Und genau das macht jemand, er loggt sich also auf irgendeinen ungesicherten Mailserver ein und verschickt Mails mit dem Absender xyz@unsere_domain.de

 

Sinn des ganzen ist, bei den potentiellen Spam-Empfängern nicht im Spamfilter zu landen, da die Spammail ja anscheinend von einer echten, vertrauten Domain zu kommen scheint.

 

Hoffe ich konnte es jetzt etwas verständlicher beschreiben :)

[GuentherH 61]

Hi.

 

Kann man irgendwie den Verursacher der Spam-mails feststellen ?

 

Im Header der SPAM Mail sollte sich eigentlich die IP Adresse des Absenders befinden.

 

Etwa in der Form:

Return-path: <user@unsere_domain.de>

Received: from [61.52.192.244]

...

 

Damit könntest du zumidest einmal den Absender indentifizieren.

 

Weiterer Vorschlag zum Hinweis von Velius in Beitrag 4:

 

Um interne Clients als Verursacher auszuschließen, sperre wenn möglich auf der Firewall ausgehend Port 25 bis auf den Exchange Server natürlich.

 

LG Günther

[Velius 10]

Hallo

 

Das ist mir schon klar! ;) Aber: Wenn doch jemand deinen SMTP Gateway missbraucht, dann schau dir doch mal die Firewall logs an. Wie willst du sonst den ursprung des Spamers herausfinden?

 

Gruss

 

 

{EDIT}

 

Oder natürlich so wie GüntherH rät....

[Darksun777 10]

Erstmal danke für eure Anteilnahme an meinem Prob :)

 

Also ich kann definitiv ausschliessen das der Spam aus unserer Firma hervorgeht, da wir die Firewall bereits dicht gemacht haben und die Logs haben wir auch ausgewertet.

 

Hier paste ich mal einen Header einer Spammail:

 

----

 

Von: Mail Delivery Subsystem [MAILER-DAEMON@lml104.siteprotect.com]

Gesendet: Montag, 30. August 2004 09:28

An: penndg@unsere_domain.de

Betreff: Returned mail: Can't create output

 

The original message was received at Mon, 30 Aug 2004 02:27:53 -0500

from 222-250-105-56.cm.dynamic.apol.com.tw [222.250.105.56]

 

---

 

 

^^ hier sieht man schön von wo aus die Mail versendet wurde, in diesem Fall von einem Server aus Taiwan ..

 

Toll oder? :mad: