none
Exchange 2010 verschickt Spamemails von einem bestimmten User RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen Community!

    Mit erschrecken musste ich feststellen, dass von einem User aus Spam Emails gesendet werden.

    Durch unsere Antispam Lösung konnte ich erst mal den Versand stoppen, was aber leider nicht die Ursache des Problems löst.

    Der Test auf mxtoolbox.com und mailradar.com auf ein offenes Relay hat auch ergeben, dass kein offenes Relay vorhanden ist.

    Durch das blockieren, konnte ich auch in den Header der Email gucken:

    X-Sender: USER@UNSERE_DOMÄNE.de 
X-Receiver: lano_der_asi@emaildienst.de 
x-endofinjectedxheaders: 0 
Received: from Fahrschule (178.9.102.254) by EXCHANGESERVER.DOMÄNE.local 
(192.168.73.59) with Microsoft SMTP Server (TLS) id 14.3.123.3; Thu, 29 Aug 
2013 09:04:46 +0200 
From: Anwalt John Mayer <USER@UNSERE_DOMÄNE.de> 
To: Lano_der_asi <lano_der_asi@emaildienst.de> 
Subject: Ihre Lastschrift konnte nicht vorgenommen werden 
Date: Thu, 29 Aug 2013 07:04:32 +0000 
MIME-Version: 1.0 
X-Mailer: Microsoft Outlook Express 6.00.2800.1106 
X-Priority: 3 
Content-Type: multipart/mixed; boundary="=-XC5B9F3ABB" 
Message-ID: <009ae4d0-eb7b-4d5f-9dfd-2a611925005d@EXCHANGESERVER.DOMÄNE.local> 
Return-Path: USER@UNSERE_DOMÄNE.de 
X-MS-Exchange-Organization-OriginalArrivalTime: 29 Aug 2013 07:04:46.5926 
(UTC) 
X-MS-Exchange-Forest-ArrivalHubServer: EXCHANGESERVER.DOMÄNE.local 
X-MS-Exchange-Organization-OriginalClientIPAddress: 178.9.102.254 
X-MS-Exchange-Organization-OriginalServerIPAddress: 192.168.73.59 
X-MS-Exchange-Organization-AuthSource: EXCHANGESERVER.DOMÄNE.local 
X-MS-Exchange-Organization-AuthAs: Internal 
X-MS-Exchange-Organization-AuthMechanism: 06 
X-Originating-IP: [178.9.102.254] 
X-MS-Exchange-Organization-MessageDirectionality: Originating 
X-MS-Exchange-Forest-MessageScope: 00000000-0000-0000-0000-000000000000 
X-MS-Exchange-Organization-MessageScope: 00000000-0000-0000-0000-000000000000 
X-MS-Exchange-Organization-Cross-Premises-Headers-Processed: EXCHANGESERVER.DOMÄNE.local 
X-GFI-SMTP-Submission: 1 
X-GFI-SMTP-Submission: 1 
X-GFI-SMTP-HelloDomain: Fahrschule 
X-GFI-SMTP-RemoteIP: 178.9.102.254 
X-MS-Exchange-Organization-OriginalSize: 86387 
X-MS-Exchange-Organization-HygienePolicy: Standard 
X-MS-Exchange-Organization-Recipient-Limit-Verified: True 
X-MS-Exchange-Organization-Processed-By-Journaling: Journal Agent 
X-MS-Exchange-Organization-MessageLatencyInProgress: LSRV=EXCHANGESERVER.DOMÄNE.local:TOTAL=3|SMR=3;2013-08-29T07:04:50.373Z

    Die IP-Adresse ist nicht unsere!

    Hat jemand eine Idee, wie ich den Spam abstellen kann?

    Grüße

    Torsten

    Freitag, 30. August 2013 05:57
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin

    ofensichtlich werden die Spam-Mails nicht über Outlook, sondern über einen SMTP-Client eingeliefert.

    1. Kontrolliere die Einstellungen der Receive Connectoren, wer einliefern darf, mit welcher Authentifikation und ob auf einem Connector Anonymes Relay eingeschaltet ist. Das muss nicht der sein, den Du von außen abfragst!

    2. Setzte das Kennwort dieses Benutzers neu!

    3. Stell sich, dass kein anderer Mail-Server existiert, der eventuell missbraucht wird.

    Grüße aus Berlin schickt Robert MVP Exchange Server

    Freitag, 30. August 2013 06:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin und vielen danke für Deine Antwort.

    Wir haben zwei Empfangsconnectoren.

    1x "Client"

    http://s1.directupload.net/file/d/3364/98l2auvp_jpg.htm

    Und 1x "Default"

    http://s1.directupload.net/file/d/3364/a7d4c3io_jpg.htm

    Das Kennwort wird der Benutzer ändern, er kommt aber erst heute Mittag ins Büro.

    Einen zweiten Exchange Server gibt es in unserer Organisation nicht.

    Grüße

    Torsten

    Freitag, 30. August 2013 08:30
    |