AlexD1979 10 Geschrieben 19. Dezember 2005 Melden Teilen Geschrieben 19. Dezember 2005 Hallo, Ein Kollege kam zu mir und zeigte mir eine typische Spam / Virenmail die offentsichtlich über unseren SMTP Server ausgeliefert wurde. Nun sind wir auf der Ursachenforschung und wollen den Weg zurückverfolgen. In seinem Postfach steht nichts unter gesendete Mails, wenn der Virus aber eine eigene SMTP Engine verwendet, muss das auch nicht zwingend im Gesendete Mails auftauchen oder ? Wird in Exchange protokolliert, welche Mail rausgegangen ist und wann ? Zitieren Link zu diesem Kommentar
Telek 10 Geschrieben 19. Dezember 2005 Melden Teilen Geschrieben 19. Dezember 2005 nur weil der jenige der absender ist muss das nicht über euren server gelaufen sein. ich kann die über jeden server dieser welt(so ich den SMTP spreche)e ine email shcicken mit jeder email adresse die ich will. wenn ich will schick ich dir zum beispiel eine von der bundeskanzlerin oder von Putin und merkst es nicht. das ist ja das trügeische bei Viren die machen was sie wollen Zitieren Link zu diesem Kommentar
AlexD1979 10 Geschrieben 19. Dezember 2005 Autor Melden Teilen Geschrieben 19. Dezember 2005 Also es kam so eine MAil bei dem Kollegen an (ich habe es etwas anonymisiert ...) Wie kann ich nun rausfinden ob die über unseren Exchange gelaufen ist oder definitiv nicht zeus.xyz.de ist unser interner Exchange Server und mmuster@xyz.de die interne E-Mailadresse? ------ Weitergeleitete Nachricht Von: Systemadministrator <postmaster@xyz.de> Datum: Sat, 17 Dec 2005 12:00:33 +0100 An: Max Muster <mmuster@xyz.de> Unterhaltung: Drunken babe in pantyhose Betreff: Unzustellbar:Drunken babe in pantyhose Your message To: karlklammer@charter.net Subject: Drunken babe in pantyhose Sent: Sat, 17 Dec 2005 11:56:48 +0100 did not reach the following recipient(s): karlklammer@charter.net on Sat, 17 Dec 2005 11:56:48 +0100 Die Nachricht konnte nicht übermittelt werden, weil das Postfach des Empfängers voll ist. < mtai04.charter.net #4.2.2> -------------------------------------------------------------------------------- Reporting-MTA: dns; zeus.xyz.de Final-Recipient: RFC822; karlklammer@charter.net Action: failed Status: 4.2.2 X-Supplementary-Info: < mtai04.charter.net #4.2.2> X-Display-Name: karlklammer@charter.net Zitieren Link zu diesem Kommentar
Telek 10 Geschrieben 19. Dezember 2005 Melden Teilen Geschrieben 19. Dezember 2005 pass auf ganz einfach. Kurze Viren erklärung also Virus "SYX" befällt Computer A. Auf PC A hat benutzer B im Adressbuch die adresse karlklammer@charter.net und mmuster@xyz.de . Ok so weit so einfach der Virus will sich verteilen. um nicht soschnell aufzufallen täuscht er immer andern absender vor. also nimmer er mmuster@xyz.de als Absender und schickt damit sich selbst weiter an karlklammer@charter.net und jedemenge andere. Da natürlich der MAilserver von charter.net nicht weiss das die email garnicht von euch kommt schickt er fehlermeldung natürlich an euch und nicht an den virenverseuchten PC. Ich hoffe Du verstehst mein geschreibsel :-) Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 19. Dezember 2005 Melden Teilen Geschrieben 19. Dezember 2005 Zur Exchangefrage: Stichwort Nachrichtentracking Zur Frage, ob die Mail eurer System verlassen hat: kompletten Mailheader der E-Mail beim Empfänger analysieren. Ansonsten ist es schon so, wie Telek es schreibt: Man kann ohne großen Aufwand eine Absenderadresse fälschen. Willst Du mal ne Mail von Putin bekommen? ;) grüße dippas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.