none
Server versendet Spam RRS feed

  • Allgemeine Diskussion

  • Hallo,

    Da ich neu hier bin und das mein erster Post ist, möchte ich gleich mal zu Beginn Hallo sagen.
    Ich betreue bei einer kleinen Versicherungsfirma das Netzwerk und habe seit Freitag ein großes Problem.
    Mein Server verschickt Spammails bzw bekommt die Officeadresse Meldungen zwecks Unzustellbarkeit.
    Diese Mails haben meistens asiatische Schriftzeichen im Betreff.

    Mein System besteht aus einem Small Business Server 2011
    Exchange hat SP2 drauf.

    Open Relay habe ich keines, das habe ich schon überprüft.
    Virus ist auch keiner drauf... das sagt zumindest mein Virenscanner *g. Da Sonntag ist, sind auch keine anderen PC´s eingeschaltet, somit hätte ich auch die Möglichkeit eingegrenzt.

    Wenn ich mir die Warteschlange ansehe sind da einige Einträge drinnen.Ich habe heute schon den ganzen Tag damit verbracht im Internet auf Fehlersuche zu gehen aber ich komme einfach nicht drauf.

    Laut diesem Test:
    http://www.backscatterer.org/?target=test
    versende ich (noch) keine Spams.

    Antispam ist am Exchange installiert und eingerichtet.
    Langsam gehen mir die Ideen aus.

    Kann mir bitte irgend jemand bei meinem Problem helfen ?

    Danke im voraus
    • Bearbeitet ExchangeSrv Sonntag, 15. Juli 2012 19:13
    • Typ geändert Alex Pitulice Freitag, 20. Juli 2012 19:22 Warten auf Feedback
    Sonntag, 15. Juli 2012 19:10

Alle Antworten

  • Hallo ExchangeSrv,

    hast Du Dir die Nachrichten in der Warteschlange mal genauer angesehen? Wer ist Absender, was ist der Inhalt, etc. Nur weil da Nachrichten drin sind, bedeutet das ja noch nicht das Dein Server SPAM verschickt. Vielleicht hat Dich auch nur irgendwer zugespamt und nun will Dein Server NDRs loswerden. Das ist zwar nicht unbedingt besser, aber eine etwas andere Situation.

    Also ueberpruef erstmal was das fuer Mails sind, wie viele es sind und dann schauen wir was wir tun koennen.

    VG, Timo

    Sonntag, 15. Juli 2012 20:06
    Moderator
  • Hallo Timo,

    Danke für Deine Antwort.
    Die Warteschlange hat 133 Einträge mit einigen hunderten Mails die nicht von uns stammen.
    Ich habe mir mal die Mails in der Warteschlange angesehen. Hier einmal ein Auszug

    Identität: SERVER01\8117\56105
    Betreff: office@xxx.co.atoffice@xxx.co.at2214082378@qq.com2214082378@qq.com2012-7-16
    Internetnachrichten-ID: <E78356B894A9E540056C17BE26EEEB40@wo>
    Von Adresse: office@xxx.co.at
    Status: Bereit
    Größe (KB): 3
    Name der Nachrichtenquelle: SMTP:extern
    Quell-IP: 112.67.179.141
    SCL (Spam Confidence Level): 0
    Empfangsdatum: 15.07.2012 21:40:26
    Ablaufzeit: 17.07.2012 21:40:26
    Letzter Fehler:
    Warteschlangen-ID: SERVER01\8117
    Empfänger:  2214082378@qq.com 982054767@qq.com 26235904@qq.com 2500239303@qq.com 18223469@qq.com 564216244@qq.com 771215450@qq.com 1306186787@qq.com 364119176@qq.com 2426160722@qq.com 1121221438@qq.com

    Die Nachricht die der Benutzer im Postfach hat ist dann folgende

    mail hat Ihre Nachricht an die folgende E-Mail-Adresse
    zurückgewiesen:
    mail hat diesen Fehler ausgegeben:
    User not found:
    263783439@163.com.cn

    Fehler bei der Zustellung der Nachricht an diese E-Mail-Adresse.
    Versuchen Sie, die Nachricht erneut zu senden. Falls das Problem weiterhin
    besteht, wenden Sie sich an Ihr Helpdesk.

    Diagnoseinformationen für Administratoren:
    Generierender Server: SERVER01.xxx.local
    263783439@163.com.cn
    mail #550 User not found:
    263783439@163.com.cn ##
    Ursprüngliche Nachrichtenkopfzeilen:

    Received: from fxkbd (61.154.59.117) by mail.xxx.at (192.168.71.253) with Microsoft SMTP Server id 14.2.247.3; Sun, 15 Jul 2012 22:35:19 +0200 From: =?GB2312?B?0e6zrA==?= <office@xxx.at> To: 254551366 <254551366@136.com> Subject: =?GB2312?B?MjU0NTUxMzY2QNeqt6I6xa7Iy9fuxcLAz7mryKXN5rXEM7/u70x8wfd831t8?= =?GB2312?B?kfIguqvD9w==?= Date: Mon, 16 Jul 2012 04:35:18 +0800 MIME-Version: 1.0 Content-Type: text/html; charset="gb2312" Content-Transfer-Encoding: base64 X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2800.1106 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106 Message-ID: <4fe266d8-0633-453d-89da-f6f83dd6019f@SERVER01.xxx.local> Return-Path: office@xxx.co.at X-Originating-IP: [61.154.59.117]






    Sonntag, 15. Juli 2012 20:47
  • Montag, 16. Juli 2012 05:37
    Moderator
  • Hi ExchangeSrv,

    Von Adresse: office@xxx.co.at <mailto:office@xxx.co.at>
    Name der Nachrichtenquelle: SMTP:extern
    Quell-IP: 112.67.179.141
    Empfänger:  2214082378@qq.com <mailto:2214082378@qq.com> 982054767@qq.com

    Schau mal ins SMTP-Log, ob vielleicht eine authentifizierte Verbindung aufgebaut wird. Ist die Quell-IP immer identisch?

    Der IP würde ich nicht unbedingt trauen, denn sie kommt aus China.

    Wenn alle aus der Richtung kommen, sperr die IP (Fw oder Receiveconnector).

    Die Nachricht die der Benutzer im Postfach hat ist dann folgende
    mail hat Ihre Nachricht an die folgende E-Mail-Adresse
    zurückgewiesen:

    263783439@163.com.cn <https://mail.wws.co.at/owa/redir.aspx?C=b7d08cd6637e473199c2bcf8dec66e36&URL=mailto%3a263783439%40163.com.cn>

    Bei welchem Benutzer - einem? Hast du den Account mal gesperrt oder das Kennwort zurückgesetzt?

    [code]
    Received: from fxkbd (61.154.59.117) by mail.wws.co.at (192.168.71.253) with
     Microsoft SMTP Server id 14.2.247.3; Sun, 15 Jul 2012 22:35:19 +0200
    From: =?GB2312?B?0e6zrA==?= <office@wws.co.at>
    X-Mailer: Microsoft Outlook Express 6.00.2800.1106
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
    Message-ID: <4fe266d8-0633-453d-89da-f6f83dd6019f@SERVER01.xxx.local>
    Return-Path: office@xxx.co.at
    X-Originating-IP: [61.154.59.117]

    Stimmen From und Return-Path-Address überein? Nutzt ihr OE als client und ist jemand gerade in China auf Geschäftsreise? :-)
    http://whois.domaintools.com/61.154.59.117


    Viele Grüße
    Christian

    Montag, 16. Juli 2012 06:02
    Moderator
  • Hallo,

    Sorry für mein Crossposting... habe wohl in meiner Verzweiflung mehrere Foren angeschrieben.

    Ich habe jetzt mal die Kennwörter für die Benutzeraccounts geändert. OE ist nicht mehr im Einsatz *g

    From und Return-Path stimmen allerdings überein, soweit ich das jetzt lesen konnte.

    Montag, 16. Juli 2012 08:09
  • Hi ExchangeSrv,

    Sorry für mein Crossposting... habe wohl in meiner Verzweiflung mehrere Foren angeschrieben.

    Ich habe jetzt mal die Kennwörter für die Benutzeraccounts geändert. OE ist nicht mehr im Einsatz *g

    Dann halte uns mal auf dem Laufenden. Konntest du im SMTP-Log schon etwas sehen bzw. nicht sehen (Auth. ungültig)?


    Viele Grüße
    Christian

    Montag, 16. Juli 2012 08:24
    Moderator
  • Hallo zusammen,

    Ein kurzer Zwischenbericht: Durch die Änderung der Kennwörter hat sich das ganze zur Zeit beruhigt. Ich glaube mal das war es.
    Falls was Neues passiert melde ich mich wieder.

    Danke jedenfalls an alle, die mir geholfen haben.

    Montag, 16. Juli 2012 14:06