Patrick1981 10 Geschrieben 7. Juni 2006 Melden Teilen Geschrieben 7. Juni 2006 Hallo Leute, ich habe das Problem, das bei einem Exchange Server jemand von extern versucht ihn als Spam Relay zu benutzen. Dank SMTP Filter, gehen die Mails nicht Raus, dennoch erzeugt das natürlich ungemein traffig. Auf dem Exchange Server läuft auch ISA 2004, was kann ich machen, dass dieser solche Absender sofort Ablehnt MX Eintrag Püfen, DNS abfrage... Danke schon mal Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 7. Juni 2006 Melden Teilen Geschrieben 7. Juni 2006 Hi, bei einem Exchange 2003 ist das Relaying per default deaktiviert. Wie kommst Du darauf, daß jemand von extern versucht Deinen Exchange durch den ISA als Relay zu benutzen? Gruß Dirk Zitieren Link zu diesem Kommentar
Patrick1981 10 Geschrieben 7. Juni 2006 Autor Melden Teilen Geschrieben 7. Juni 2006 Hi, meine Topologie sieht volgendermaßen aus: ISA2004 veröffentlicht Port 25 - auf Port 25 lauscht ein SMTP filter, ergibt nach dem scan die Mails auf Port 2225 weiter an den exchange. im SMTP-Filter kann man in den Logs sehen, das jemand versuch E-Mail von einer anderen Adresse aus zu versenden, der SMTP -Filter stellt diese nicht zu, der er nur Mails zustellt an den Exchange, für die Domain die ich angegeben habe. Da das mittlerweile ca 500 Mails pro Tag sind die der SMTP Filter loged, erzeugt das eine Menge Traffic. Deshalb meine Fage, kann ich die einkommenden IP nicht schon im ISA2004, wie andere SMTP Server von großen Organisationen, die versuchen die IP in Domain aufzulösen, schauen ob es einen MX dazugibt und so weiter. Um die Anfrage gleich abzulehnen. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 7. Juni 2006 Melden Teilen Geschrieben 7. Juni 2006 Hi. Also ganz klar komme ich mit deiner Beschreibung nicht. Wenn der Exchange auf Port 2225 lauscht, dann kann doch schon einmal der Exchange nichts dafür wenn ihm vom SMTP Filter vorher Nachrichten zugestellt werden, die er dann verwirft, weil es den Empfänger nicht gibt. Das Problem mußt du also bei deinem SMTP Filter suchen und nicht beim Exchange. - erstens teste einmal, ob du da ein offenen Relay hast - http://www.rbl.jp/svcheck.php - wenn es immer eine bestimmte IP ist, dann ist die auf dem SMTP Filter zu sperren, und nicht auf dem Exchange - alle anderen Konfigurationen wie Empfängerfilter usw. sind ebenfalls auf deinem SMTP Filter durchzuführen LG Günther Zitieren Link zu diesem Kommentar
hh2000 10 Geschrieben 7. Juni 2006 Melden Teilen Geschrieben 7. Juni 2006 Hallo, und vielleicht noch ergänzend gefragt, kommen die Anfragen denn immer aus dem gleichen Netz, bzw. IP-Adresse? Als Tip, ich habe z.B. Class A Netze aus Asien direkt (u.a. 209.0.0.0/8) gesperrt, da ich von dort sowieso nichts erwarte. Liste findest Du hier: http://www.iana.org/assignments/ipv4-address-space Den Versuch einer Mailzustellung kannst Du ja ansonsten nicht komplett blocken, da Du ja auch Mail annehmen willst. Dazu ist dann aber während des Verbindungsaufbaus auf korrekte Daten zu prüfen. Gruß Kai Zitieren Link zu diesem Kommentar
Patrick1981 10 Geschrieben 7. Juni 2006 Autor Melden Teilen Geschrieben 7. Juni 2006 Hallo GuentherH, der Exchange bekommt die Nachricht erst gar nicht, der SMTP-Filter erkannt annhand des Empfängers, das es sich um ein Empfänger außerhalb der domain handelt, also speichert er die Mails in einem extra Ordner ab und der Absender erhält nach einem Tag eine Fehlermeldung. Und gerade das möchte ich verhindern, denn der SMTP Filter ist mittlerweile sehr stark ausgelastet mit diesen Mails die jemand über Ihn versenden möchte. Hallo hh2000, die Mails kommen leider immer aus unterschliedlichen Netzen und unterschiedlichen IP's absender lauten z.B. meiho_boy@yahoo.com.tw hhdrodxmnubq@hotmail.com diese wollen E-Mails an div unterschiedliche andere Empfänger versenden. Da die angegebenen Empfänger aber nicht zu der Domain gehören werden sie nicht übermittelt und ich habe alle Logs mit diesem Käse voll Zitieren Link zu diesem Kommentar
Patrick1981 10 Geschrieben 7. Juni 2006 Autor Melden Teilen Geschrieben 7. Juni 2006 @GuentherH, einige Ralay's sind durchgegangen :( und zwar immer die, die er mit empfänger der eigenen domain eingetragen hat oder leer gelassen hat... Super tool, danke. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 7. Juni 2006 Melden Teilen Geschrieben 7. Juni 2006 Hi. die er mit empfänger der eigenen domain eingetragen hat Das ist klar, wenn kein Empfängerfilter aktiv ist, dann werden diese natürlich an den Exchange weitergereicht, der sie dann verwirft. oder leer gelassen hat... Sollte meiner Meinung nach nicht sein, poste einmal die Nummern der Tests Kannst du dem SMTP Filter nicht beibringen, dass er die SMTP Verbindung abbricht, wenn jemand versucht darüber zu versenden. Das wäre die normale Vorgangsweise. LG Günther Zitieren Link zu diesem Kommentar
Patrick1981 10 Geschrieben 12. Juni 2006 Autor Melden Teilen Geschrieben 12. Juni 2006 Hi, danke für den Tipp. Ich hab noch eine Einstellung speziell für Spam Relay gefunden, jetzt macht er was du sagst, er unterbricht sofort die Verbindung und die Absender mit leerem Feld gehen auch nicht mehr durch. :) Wurde echt Zeit, mittlerweile war das E-Mail aufkommen auf über 11000 in einem Zeitraum von 12 h angestiegen. Jetzt ist wieder Ruhe eingekehrt. Danke Gruß Patrick Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.