none
Exchange 2010 verschickt Spamemails von einem bestimmten User RRS feed

  • Frage

  • Guten Morgen Community!

    Mit erschrecken musste ich feststellen, dass von einem User aus Spam Emails gesendet werden.

    Durch unsere Antispam Lösung konnte ich erst mal den Versand stoppen, was aber leider nicht die Ursache des Problems löst.

    Der Test auf mxtoolbox.com und mailradar.com auf ein offenes Relay hat auch ergeben, dass kein offenes Relay vorhanden ist.

    Durch das blockieren, konnte ich auch in den Header der Email gucken:

    X-Sender: USER@UNSERE_DOMÄNE.de 
    X-Receiver: lano_der_asi@emaildienst.de 
    x-endofinjectedxheaders: 0 
    Received: from Fahrschule (178.9.102.254) by EXCHANGESERVER.DOMÄNE.local 
    (192.168.73.59) with Microsoft SMTP Server (TLS) id 14.3.123.3; Thu, 29 Aug 
    2013 09:04:46 +0200 
    From: Anwalt John Mayer <USER@UNSERE_DOMÄNE.de> 
    To: Lano_der_asi <lano_der_asi@emaildienst.de> 
    Subject: Ihre Lastschrift konnte nicht vorgenommen werden 
    Date: Thu, 29 Aug 2013 07:04:32 +0000 
    MIME-Version: 1.0 
    X-Mailer: Microsoft Outlook Express 6.00.2800.1106 
    X-Priority: 3 
    Content-Type: multipart/mixed; boundary="=-XC5B9F3ABB" 
    Message-ID: <009ae4d0-eb7b-4d5f-9dfd-2a611925005d@EXCHANGESERVER.DOMÄNE.local> 
    Return-Path: USER@UNSERE_DOMÄNE.de 
    X-MS-Exchange-Organization-OriginalArrivalTime: 29 Aug 2013 07:04:46.5926 
    (UTC) 
    X-MS-Exchange-Forest-ArrivalHubServer: EXCHANGESERVER.DOMÄNE.local 
    X-MS-Exchange-Organization-OriginalClientIPAddress: 178.9.102.254 
    X-MS-Exchange-Organization-OriginalServerIPAddress: 192.168.73.59 
    X-MS-Exchange-Organization-AuthSource: EXCHANGESERVER.DOMÄNE.local 
    X-MS-Exchange-Organization-AuthAs: Internal 
    X-MS-Exchange-Organization-AuthMechanism: 06 
    X-Originating-IP: [178.9.102.254] 
    X-MS-Exchange-Organization-MessageDirectionality: Originating 
    X-MS-Exchange-Forest-MessageScope: 00000000-0000-0000-0000-000000000000 
    X-MS-Exchange-Organization-MessageScope: 00000000-0000-0000-0000-000000000000 
    X-MS-Exchange-Organization-Cross-Premises-Headers-Processed: EXCHANGESERVER.DOMÄNE.local 
    X-GFI-SMTP-Submission: 1 
    X-GFI-SMTP-Submission: 1 
    X-GFI-SMTP-HelloDomain: Fahrschule 
    X-GFI-SMTP-RemoteIP: 178.9.102.254 
    X-MS-Exchange-Organization-OriginalSize: 86387 
    X-MS-Exchange-Organization-HygienePolicy: Standard 
    X-MS-Exchange-Organization-Recipient-Limit-Verified: True 
    X-MS-Exchange-Organization-Processed-By-Journaling: Journal Agent 
    X-MS-Exchange-Organization-MessageLatencyInProgress: LSRV=EXCHANGESERVER.DOMÄNE.local:TOTAL=3|SMR=3;2013-08-29T07:04:50.373Z 
    

    Die IP-Adresse ist nicht unsere!

    Hat jemand eine Idee, wie ich den Spam abstellen kann?

    Grüße

    Torsten

    Freitag, 30. August 2013 05:57

Alle Antworten

  • Moin

    ofensichtlich werden die Spam-Mails nicht über Outlook, sondern über einen SMTP-Client eingeliefert.

    1. Kontrolliere die Einstellungen der Receive Connectoren, wer einliefern darf, mit welcher Authentifikation und ob auf einem Connector Anonymes Relay eingeschaltet ist. Das muss nicht der sein, den Du von außen abfragst!

    2. Setzte das Kennwort dieses Benutzers neu!

    3. Stell sich, dass kein anderer Mail-Server existiert, der eventuell missbraucht wird.


    Grüße aus Berlin schickt Robert MVP Exchange Server

    Freitag, 30. August 2013 06:54
  • Moin und vielen danke für Deine Antwort.

    Wir haben zwei Empfangsconnectoren.

    1x "Client"

    http://s1.directupload.net/file/d/3364/98l2auvp_jpg.htm

    Und 1x "Default"

    http://s1.directupload.net/file/d/3364/a7d4c3io_jpg.htm

    Das Kennwort wird der Benutzer ändern, er kommt aber erst heute Mittag ins Büro.

    Einen zweiten Exchange Server gibt es in unserer Organisation nicht.

    Grüße

    Torsten

    Freitag, 30. August 2013 08:30