Darkmind 10 Geschrieben 1. Juli 2003 Melden Teilen Geschrieben 1. Juli 2003 Hallo leuts. Ich habe eine frage zu NT Sicherheit im zusammenhang mit exchange 2000 Zuerst vielleicht unsere konfiguration: Exchange 2000 (SP3) mit w2k(sp2) konfiguriert als Primärer Domänencontroller Was wollte ich tun: Ich wollte ein skript einbinden das per ADSI und CDO einen ADS Benutzer inkl aktivierter Mailbox erstellt. nun soweit alles ok. Ich hatte ein ein vorgefertigtes Perl skript gefunden da diese Kriterien erfüllt. Als ich das skript ausführte merkte ich, dass das skript einen user ohne Passwort erstellen will. Um zu testen ob das skript funktioniert ohne allzu viel daran umzuprogrammieren setzte ich in der Richtlinie fuer domänen das Benutzer mit einem 0 Zeichen Passwort aktzeptiert werden. Nun gut.. nach dieser umstellung funktionierte das skript und erstellte zumindest mal den benutzer. Da die Maibox durch einen OLE DB Fehler aber nicht aktiviert wurde installierte ich noch das service pack 3 fuer w2k. Alles shien zu funktionieren ausser dsa skript. :mad: 3 tage später wollte ich an meiner arbeit forfahren und lies alle richtlinien so wie sie waren. NUN DER SCHOCK!!: :shock: :shock: der mailserver lief extrem langsam.. und ich wusste zuerst einfach nicht warum. Event logs waren ok.. usw usw.. Ich schaute dann per zufall mit active ports die laufenden TCP / IP Connections an und darauf hin ab in den system manager um die warteschlangen des smtp Protokolls einzusehen. dann traf mich fast der schlag.. über 3000 mails in der Warteschlange und nach der kontrolle des w3c Logs (SATTE 165MB) mussten schon mindestens 6000 - 7000 mails durch unseren mailserver gesendet worden sein. unser mailserver ist normalerweise Relaysicher und ohne authentifikation geht gar nichts. laut smtp log hat es eine Authentifizierung gegeben doch von benutzernamen die ich noch nie gesehen habe. Ganz sicher waren diese Benutzernamen NICHT im Ads eingetragen. nun habe ich die anzahl buchstaben für passwörter wieder hochgeschraubt.. und exchange wieder so hergestellt das es seinen normalbetrieb wieder aufnehmen kann. Der spuck ist glücklicherweise vorbei. nun aber meine frage.. wie konnte es dazu kommen ?? kann es auch sein wenn das passwort kriterium auf 0 zeichen steht. man ohne authentifizierung Mails versenden kann ? ich möchte es nicht mehr testen.. und ich hoffe.. jemand von euch weis da veilleicht bescheid. über eine Antwort würde ich mich freuen Grüsse Darkmind Zitieren Link zu diesem Kommentar
Old Sam 10 Geschrieben 1. Juli 2003 Melden Teilen Geschrieben 1. Juli 2003 Natürlich kann es mehrere Lösungsansätze geben für das Problem, das du geschildert hast. Meine erste Überlegung: Der Exchange 2000 Server versendet nur Mails wenn du dich mit irgenden einem Mail-Client mit Benutzer UND Passwort anmeldest. (Exchange lauscht ja dauernt auf Port 25...) Das kann ja zum Beispiel selbst ein jeder Printserver der Benachrichtigungen per email versenden kann. Hast du dir schon mal überlegt das ein User in deinem Netz einen Trojaner/Virus eingefangen haben kann(der dann leichtes Spiel hat) Melde dich halt noch mal. Grüsse. Zitieren Link zu diesem Kommentar
Darkmind 10 Geschrieben 1. Juli 2003 Autor Melden Teilen Geschrieben 1. Juli 2003 hallo old sam.. vielen dank fuer deine antwort. hm.. naja das problem ist eignetlich shcon wieder gelöst.. sp3 wieder deinstalliert und diese konto richtlinie wieder auf 5 zeichen gsetellt.. und siehe da.. seit diesen einstellungen keine unbefungten Zugriffe mehr. Das das service pack shculd ist, an das glaube ich nicht... aber ich möchte den fehler nicht nochmals machen.. und das ganze nochmals testen.. ist mir auch etwas zu heikel. hmm.. das mit dem trojaner glaube ich eher nicht. Die e-mail wurde von aussen über unseren Server weiterversendet.. typisches Relay halt. ausserdem müssen sich auch interen benutzer Authentifizieren. Ich habe jetzt alle sicherheits einstellungen wieder hochgefahren. Ich kann einfach nicht verstehen warum die mails überhaupt angenommen wurden. Auf den Relay schutz habe ich schon bei der installation besonders geachtet. und unser server läuft shcon über 1 Jahr immer ohne Probleme. Kann es Sein das sp3 das Relaying erlaubt hat ? oder kann es Sein das die Authentifizierung falls kein Passwort aber Benutzername verlangt wird, jeden Benutzernamen Annimmt ? hmm.. jetzt habe ich noch ein problem.. eeinige mails die von div servern nicht mehr angenommen werden befinden sich noch in der Warteshclange.. aber ich kann diese nicht löschen ( 1. alle Mails Fixieren 2. Alle Mails löschen) aber geht einfach nicht :( vielen dank für euere Antworten. Gruss Darkmind Zitieren Link zu diesem Kommentar
Darkmind 10 Geschrieben 3. Juli 2003 Autor Melden Teilen Geschrieben 3. Juli 2003 hallo leute.. habs doch nochmals gewagt mir das ganze näher anzusehen. Ich habe nun das Service Pack 4 auf dem Server installiert. nach dem neustart... Exchange wieder offen für relaying Ich habe danach nochmals alle einstellungen für das Relaying verhalten von Exchange überprüft und bin auf das Relayverhalten des Connectors gestossen. Diese option " Weitergabe von Nachrichten an diese Domäne Erlauben" war immer Aktiviert. Dies was schlussendlich der auslöser meines problems NACH der Service Pack installation Eigentlich ist es logisch wenn man dem connector erlaubt an die Domänen * relaying zu gestatten das diese an JEDE Domäne Weitergeleitet wird. Doch bis sp2 war dem nicht so. Aber ich hatte das so intepretiert das der * für alle Domänen DIESES Servers erlaubt sei. Warum das NACH dem Service Pack plötzlich anders ist, kann ich nicht erklären. Ich möchte das nur noch Posten falls jemand anders mal ähnliche Probleme haben wird. vielen Dank an diese die meinen Beitrag gelesen haben. Gruss Darkmind Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 3. Juli 2003 Melden Teilen Geschrieben 3. Juli 2003 Hi Darkmind ! Danke für Deine Rückmeldung - aber bist Du Dir sicher, daß das bis zum SP2 anders gehändelt wurde ? Das wäre dann meiner Meinung nach ein Fehler ! Ist ja ´ne wichtige Angelegenheit - wer landet schon gern als open relay in den diversen Datenbanken ? Zitieren Link zu diesem Kommentar
Darkmind 10 Geschrieben 3. Juli 2003 Autor Melden Teilen Geschrieben 3. Juli 2003 hallo zuschauer.. jup bin mir sicher... das häkchen war vor und nach der sp4 installation gesetzt. Ausserdem haben wir noch einen 2ten server mit w2k sp2... dort ist das häkchen auch gesetzt.. doch ohne authentifizierung geht gar nichts. komische sache. :shock: Zitieren Link zu diesem Kommentar
Achim_1 10 Geschrieben 4. Juli 2003 Melden Teilen Geschrieben 4. Juli 2003 Hallo zuschauer, hallo darkmind habe bei meinen Einstellungen gerade auch mal nachgesehen, habe auch W2K und den Exchange Server mit SP3 installiert. Bei mir ist das Häkchen nicht gesetzt und ich habe garantiert noch nie etwas verändert, da ich erst gestern auf das relaying aufmerksam gemacht worden bin ;( und das nach 3 Jahren Betrieb. Ich weis ist schon peinlich.... Zitieren Link zu diesem Kommentar
Darkmind 10 Geschrieben 4. Juli 2003 Autor Melden Teilen Geschrieben 4. Juli 2003 hmm.. naja... eigenlich sollte das häkchen auch nicht gesetzt sein.. wie das der zuschauer schon gesagt hatte :) solange du in den smtp eigenschaften den Filter Aktiviert hast und unter der Relay Option die option "Nur Computer in der Liste unten" und das häkchen "jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste ober das Relay erlauben" angewählt hast.(siehe Bild) ist alles ok.. naja.. war es auf jeden fall. bis w2k sp3 Exchange 2000 ist von hause aus Relay sicher und ist erst nach einigen einstellungen vom Bentzer fürs relay geöffnet. ( Filter nicht aktiv usw usw..) Ich denke nicht das dein Server für Relays offen war.. Bei mir ging es sage und schreibe 2 Tage.. und der server wurde überflütet ( ca 9000 Mails) Der server ist hat einen 1.3ghz prozessor mit 700mb Ram... doch der machte fast schlapp.. Zugriff via Outlook auf Exchange Postfach) war fast nicht möglich..( 5 minuten bis ein mail geöffnet war) usw usw. Sowas merkt man einfach. Ausserdem könntest du wahrscheinlich an fast keinen gross Provider mehr e-mails senden.. da diese MAil server die auf blacklists aufgelistet sind.. (fuer open Relay) permanent gesperrt werden. ( z.b http://www.spamcop.com ) kannst dort ja mal deine ip eingeben :) grüsse Darkmind Zitieren Link zu diesem Kommentar
Darkmind 10 Geschrieben 4. Juli 2003 Autor Melden Teilen Geschrieben 4. Juli 2003 übrigens.. wenn du das häkchen jetzt gesetzt hast.. könnte dir das gleich passieren wie mir.. also dein server könnte offen sein.. am besten du testest das relay verhalten mit telnet befehle start ausführen -> telnet dein.host.de 25 (am besten gehts mit putty) Befehle: helo 250 deinhost.exchangeserver.de [deine ip] Mail From: <wasauchimmer@wasauchimmer.de> 250 wasauchimmer@wasauchimmer.de....Sender Ok rcpt to: <wasauchimmer@alleanderenendomänenausserdeiine.de> 550 5.7.1 Unable to relay for wasauchimmer@alleanderenendomänenausserdeiine.de wenn das so schteht.. ist alles i.o. Wenn nicht.. hast du ein Problem :) Gruss Darkmind Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.