Fragensteller
Exchange 2010 verschickt Spamemails von einem bestimmten User

Frage
-
Guten Morgen Community!
Mit erschrecken musste ich feststellen, dass von einem User aus Spam Emails gesendet werden.
Durch unsere Antispam Lösung konnte ich erst mal den Versand stoppen, was aber leider nicht die Ursache des Problems löst.
Der Test auf mxtoolbox.com und mailradar.com auf ein offenes Relay hat auch ergeben, dass kein offenes Relay vorhanden ist.
Durch das blockieren, konnte ich auch in den Header der Email gucken:
X-Sender: USER@UNSERE_DOMÄNE.de X-Receiver: lano_der_asi@emaildienst.de x-endofinjectedxheaders: 0 Received: from Fahrschule (178.9.102.254) by EXCHANGESERVER.DOMÄNE.local (192.168.73.59) with Microsoft SMTP Server (TLS) id 14.3.123.3; Thu, 29 Aug 2013 09:04:46 +0200 From: Anwalt John Mayer <USER@UNSERE_DOMÄNE.de> To: Lano_der_asi <lano_der_asi@emaildienst.de> Subject: Ihre Lastschrift konnte nicht vorgenommen werden Date: Thu, 29 Aug 2013 07:04:32 +0000 MIME-Version: 1.0 X-Mailer: Microsoft Outlook Express 6.00.2800.1106 X-Priority: 3 Content-Type: multipart/mixed; boundary="=-XC5B9F3ABB" Message-ID: <009ae4d0-eb7b-4d5f-9dfd-2a611925005d@EXCHANGESERVER.DOMÄNE.local> Return-Path: USER@UNSERE_DOMÄNE.de X-MS-Exchange-Organization-OriginalArrivalTime: 29 Aug 2013 07:04:46.5926 (UTC) X-MS-Exchange-Forest-ArrivalHubServer: EXCHANGESERVER.DOMÄNE.local X-MS-Exchange-Organization-OriginalClientIPAddress: 178.9.102.254 X-MS-Exchange-Organization-OriginalServerIPAddress: 192.168.73.59 X-MS-Exchange-Organization-AuthSource: EXCHANGESERVER.DOMÄNE.local X-MS-Exchange-Organization-AuthAs: Internal X-MS-Exchange-Organization-AuthMechanism: 06 X-Originating-IP: [178.9.102.254] X-MS-Exchange-Organization-MessageDirectionality: Originating X-MS-Exchange-Forest-MessageScope: 00000000-0000-0000-0000-000000000000 X-MS-Exchange-Organization-MessageScope: 00000000-0000-0000-0000-000000000000 X-MS-Exchange-Organization-Cross-Premises-Headers-Processed: EXCHANGESERVER.DOMÄNE.local X-GFI-SMTP-Submission: 1 X-GFI-SMTP-Submission: 1 X-GFI-SMTP-HelloDomain: Fahrschule X-GFI-SMTP-RemoteIP: 178.9.102.254 X-MS-Exchange-Organization-OriginalSize: 86387 X-MS-Exchange-Organization-HygienePolicy: Standard X-MS-Exchange-Organization-Recipient-Limit-Verified: True X-MS-Exchange-Organization-Processed-By-Journaling: Journal Agent X-MS-Exchange-Organization-MessageLatencyInProgress: LSRV=EXCHANGESERVER.DOMÄNE.local:TOTAL=3|SMR=3;2013-08-29T07:04:50.373Z
Die IP-Adresse ist nicht unsere!
Hat jemand eine Idee, wie ich den Spam abstellen kann?
Grüße
Torsten
Alle Antworten
-
Moin
ofensichtlich werden die Spam-Mails nicht über Outlook, sondern über einen SMTP-Client eingeliefert.
1. Kontrolliere die Einstellungen der Receive Connectoren, wer einliefern darf, mit welcher Authentifikation und ob auf einem Connector Anonymes Relay eingeschaltet ist. Das muss nicht der sein, den Du von außen abfragst!
2. Setzte das Kennwort dieses Benutzers neu!
3. Stell sich, dass kein anderer Mail-Server existiert, der eventuell missbraucht wird.
Grüße aus Berlin schickt Robert MVP Exchange Server
-
Moin und vielen danke für Deine Antwort.
Wir haben zwei Empfangsconnectoren.
1x "Client"
http://s1.directupload.net/file/d/3364/98l2auvp_jpg.htm
Und 1x "Default"
http://s1.directupload.net/file/d/3364/a7d4c3io_jpg.htm
Das Kennwort wird der Benutzer ändern, er kommt aber erst heute Mittag ins Büro.
Einen zweiten Exchange Server gibt es in unserer Organisation nicht.
Grüße
Torsten