exchange missbrauch?

[big-lemon 10]

hallo zusammen

 

vorweg, habe im board schon diverses gelesen... will trotzdem rücksprache halten mit euch.

 

die geschichte:

 

eine firma in zürich versendet am freitag abend emails betreffend häuserkauf. wir haben absolut gar nichts mit dieser firma zu tun.

diese email wurde ungefähr an 5000 leute versendet.

irgendwas ging schief, und obwohl ich NICHT in der empfängerliste drinstehe, bekam auch ich dieses email.

mein exchange server versendet nun pro stunde ca. 1800 emails an alle diese empfänger.. immer und immer wieder....

 

ich weiss nicht woher diese mails von uns gesendet werden.. alle 15 minuten sind sie einfach in der warteschlange bei unserem server... wieso? woher?

 

was kann ich machen dass so etwas nicht mehr passiert...

wieso ist es passiert?

wieso will unser server trozu mehrmaligem löschen der warteschlangen, alle 15 minuten trotzdem versenden?

 

bin auf eure hilfe angewiesen...

 

server ist ein SBS 2003

versendet wird via SMB Smtp Connector (smarthost)

 

danke euch

[reinersw 10]

Hallo,

sieht so aus, als hätte sich Euer EX etwas eingefangen. Evtl Trojaner o.ä.

Was für Schutzmaßnahmen sind getroffen? Firewall -> Virenscanner usw.

 

reinersw

 

knapp daneben ist auch vorbei

-----------------------------------

[big-lemon 10]

hallo reiner

 

firewall: zyxel zywall 2

virenscan: panda enterprise solution mit exchange scanner

IDP: IDP von Zyxel

[Foster´s 10]

Theoretisch kann es auch einer der CLients sein. Mal die Relay-Einstellungen prüfen / härten.

 

MFG

Foster´s

 

btw: würde den Virenscanner wechseln ;) ( nur schlechte Erfahrung... )

[grblzbx 10]

Den MS-Patch für den POP3-Connector einspielen.

http://support.microsoft.com/?id=835734

[big-lemon 10]

danke jungs

 

habe den patch gerade installiert, bin beim neustart, werde das ganze noch begutäugen...

 

@fosters

die clients sind virenfrei, habe alle überprüft, darum erst jetzt die antwort.

wollte sichergehen dass server und alle clients virenfrei sind.

der panda antivirus ist der beste den ich bisher hatte, und ich hatte schon norton, trend micro und GDATA (Kaspersky & Bitdefender)

aber antivirensoftware ist immer geschmacksache, darum wirds ja hier immer und immer wieder diskutiert... und müssen das ja nicht auch noch hier durchkauen. danke trotzdem für deinen hinweis.

was meinst du übrigens mit relay einstellungen härten??

genaueres darüber zu erfahren wäre cool ;-)

 

ich werde wieder posten, was abgeht, nachdem neustart des servers, vorher bringts noch nix...

danke euch allen

 

gruss

 

chris

[reinersw 10]

Hi big-lemon,

 

ich werde wieder posten, was abgeht, nachdem neustart des servers, vorher bringts noch nix...

 

Was ist es jetzt gewesen?

 

reinersw

 

knapp daneben ist auch vorbei

-----------------------------------

[Foster´s 10]

Hat´s geholfen ?

 

... und naja, härten ist vielleicht nicht ganz korrekt ausgedrückt. ;)

 

Im System Manager %servername% -> Protokolle -> SMTP -> Virtueller Standardserver ->> Reiter:Zugriff -> Relay...

 

... prüfen wer alles darf. Stelle dort meist nur den Mailserver mit der IP rein, auch authentifizierte B. muessen bei einem -klassischen- MS-Mailserver ( Outlook & Exchange per x.400 ) nicht "relayen" dürfen.

 

Hoffe geholfen zu haben ...

 

MFG

Foster´s

 

 

und müssen das ja nicht auch noch hier durchkauen.

- nö, war nicht beabsichtigt.

 

 

EDIT : Hab wohl etwas lang gebraucht

[grblzbx 10]

Die Frage was es war stellt sich bei den Symptomen eigentlich nicht - das ist fast schon ein Klassiker. Der wildgewordene POP-Connector von MS hat z. B. dazu geführt, dass diverse Mailserver "damals" komplett stillgelegt und neu hochgezogen wurden - bei der "Forensik" hat sich dann natürlich herausgestellt, das der Versender gar nicht der Schuldige ist.

 

Zu der Zeit hat sich das Problem durch mehrere POP3-Connectoren in der Empfängerkette multipliziert - drei hohldrehende SBS-POP3's die einen Newsletter mit vielen vielen Empfänger und einem 200kB-Attachment immer wieder neu in die Weltgeschichte blasen sorgten für viel Erheiterung, insbesondere bei Empfängern die Mails mit ISDN runterladen. Von vollgestopften Postfächern und abgewiesenen Mails wg. "Quota exceeded" mal ganz zu schweigen.

 

Ein schöner Grund auch, für Mails an grosse Verteilerlisten BCC zu verwenden, anstatt TO oder CC mit einer ellenlangen Empfängerliste vollzupropfen - das ist eigentlich sowieso ganz schlechter Stil, sieht man trotzdem nach wie vor täglich.

 

Und nur so als Anmerkung zum drüber nachdenken... der Patch hat "Datum der Freigabe: 21.05.04" und ist im SP1 für den SBS längst enthalten.

[big-lemon 10]

hallo jungs

 

vielen dank für eure hilfe, dies mal vorneweg.

 

nach der patch installation und dem neustart, hat es tatsächlich aufgehört.

scheint also der möglicherweise der beste hinweis gewesen sein.

 

@grbusw...

du hast mit deiner aussage natürlich vollkommen recht.

das SP1 hätte längstens installiert werden müssen.

habe es wahrscheinlich aus einem einzigen grund nie getan.

ich war zu faul...

 

jedenfalls wird dies diese woche nachgeholt.

 

die relay einstellungen stimmen mit deiner aussage überrein, mit ausnahme von folgenden einträgen.

127.0.0.1

und meiner client station

 

werde dies ebenfalls beheben, sind ja völlig unnütze einträge.

 

danke für alles... :-|

 

gruss

 

chris