Spam in SBS2003/Exchange

[erichert 10]

Hallo!

 

Ich kämpfe schon seit gsetern 15.00 Uhr mit einem SBS2003: seit einiger Zeit wird darüber gespamt. Die Warteschlange liegt bei ca. 45000 Mails.

 

Löschen kann ich zwar (es dauert sehr lange), aber es kommen immer wieder welche Mails dazu.

 

Wie kann ich feststellen, wer das macht? Der Server ist jetzt komplett abgeklemmt und sendet trotzdem weiter. Ich habe hier einen aktuellen Virenscanner (PANDA - auch f. Exchange) und auch einen SpyBot laufenlassen - beide schlagen nicht an!

 

Die eMails stehen alle mit der gleichen AbsendereMail im System, die aber nicht zur Domain gehört. Ich weiß jetzt nicht, ob der Kunde gehackt wurde, aber er wollte einfach offen sein... (Port 80, 25, 110, VPN und Remote).

 

Weiß jemand, wie man die Quelle jetzt feststellen kann?

 

 

E. Richert

[mailkilla 10]

also ich tipp mal auf 2 Sachen.

 

1. Entweder ist das Relay offen und einer hats gefunden

2. So ein Ding das von Menschen mit krimineller Energie programmiert wurde (V/W/T)

 

lg,m

[GuentherH 61]

Hi.

 

Muss nicht sein, dass der SBS offen ist, es könnte sich um eine NDR Attacke handeln

 

- Server bereinigen wie hier beschrieben - http://support.microsoft.com/default.aspx?scid=kb;en-us;886208

- und auch hier - http://support.microsoft.com/default.aspx?scid=kb;en-us;324958

- NDR Versand vorübergehend deaktivieren

- Empfängerfilter intallieren - http://www.sbspraxis.de/exchange/ex03010/ex03010.html

- auf offenes Relay testen - gleicher Artikel -> Links unten

 

LG Günther

[erichert 10]

Relay ist definitiv dicht!!!

 

Die andere Sache probiere ich nochmals. Habe die Warteschlange jetzt geleert über das Queue- und BADMail-Verzeichnis.

 

Wie kann es sich um eine NDR-Attacke handeln? Erkennen das Antivirenprogramme nicht?

 

mfg,

 

 

E. Richert

[GuentherH 61]

Hi.

 

Wie sollte ein Virenscanner eine NDR Attacke erkennen ?

 

Zur Info - http://www.heise.de/security/result.xhtml?url=/security/artikel/46496&words=non%20Delivery

 

LG Günther

[mailkilla 10]

Relay ist definitiv dicht!!!

 

:schreck: Deine Tastatur steckt

 

lg

 

EDIT: :D Auch Spaß muss sein

[erichert 10]

Nein - meine Tastatur ist nicht dicht!

 

Ich habe nur einen Zittrigen zum Ende mancher Zeile.

 

Tja... (schon wieder) - die Vogelgrippe.

 

mfg,

 

 

E. Richert

[erichert 10]

@guenterh:

 

Du hattest Recht - schien eine NDR-Attacke zu sein. Leider konnte ich die Warteschlange nur über das Queue-Verzeichnis löschen, aber danach war alles erledigt.

 

Habe dem Kunden gesagt, dass Updates durchgeführt werden müssen. Zudem habe ich di zugelassenen Empfänger ausschließlich auf den Domain-Namen eingegrenzt. Da es ein e.V. ist, wollten die noch alle möglichen eMail-Adressen empfangen. Nachdem denen jetzt ein erheblicher Aufwand entstanden ist, denken die jetzt ein bisschen anders.

 

Ich werde dort aber ein Problem haben: die holen die Mails per popconnector ab. Jetzt steckt irgendein Empfänger von denen in einer Mailingliste. Diese kann dann irgendwie nicht aufgelöst werden ("undisclosured recipients" oder so ähnlich).

 

Wir kann man jetzt dieses Problem umgehen?

 

mfg,

 

 

E. Richert

[Tschingiskan 10]

@guenterh:

Ich werde dort aber ein Problem haben: die holen die Mails per popconnector ab. Jetzt steckt irgendein Empfänger von denen in einer Mailingliste. Diese kann dann irgendwie nicht aufgelöst werden ("undisclosured recipients" oder so ähnlich).

 

Wir kann man jetzt dieses Problem umgehen?

 

mfg,

 

 

E. Richert

 

Wenn ich es richtig verstanden habe kommt der Popconnector mit der Mailingliste nicht zu recht! Eventuell hilft Dir Popbeamer weiter!

http://www.dataenter.co.at/products/popbeamer.htm