none
Exchange 2003 Open SMTP Relay Server? RRS feed

  • Allgemeine Diskussion

  • Hallo,

    angeblich soll mein Exchange 2003 Server open Relay fähig sein. Mein Exchange 2003 Server sendet via Smart Host die E-Mails nach extern. Von meinem Provider, der den Smart Host überwacht kam die Meldung, dass er 1000 Mails in der Warteschlange hat. Verdacht ist, dass der Exchange als Open Relay arbeitet.

    http://support.microsoft.com/kb/324958/de

    Dieser Artikel beschreibt wie man ein Open Relay von extern per Telnet testet. Dieses habe ich bereits getan und ich erhalte: 550 5.7.1 Unable to relay for <var>Benutzer@spam</var>.com

    Der Artikel ist zwar für SBS aber sollte mit einen normalen Exchange 2003 Server übereinstimmen.

    Gibt es noch andere Möglichkeiten der Prüfung ob der Exchange nicht per Open Relay verwendet werden kann.

    Die Punkte im Artikel bzgl. Sicherheit werde ich morgen prüfen.

    Danke

    • Typ geändert Alex Pitulice Montag, 4. Februar 2013 12:12 Warten auf Feedback
    Donnerstag, 24. Januar 2013 20:13

Alle Antworten

  • Hallo,

    ja, www.mxtoolbox.com und

    http://www.spamhelp.org/shopenrelay/

    Außerdem sollte der ExBPA das auch finden.

    System ist auf aktuellem Stand?

    Antivirus drauf?

    ;)


    Gruß Norbert

    Donnerstag, 24. Januar 2013 21:09
    Moderator
  • Hallo Nobby, Unable to Relay kam bei den Tests heraus. ExBPA muss ich laufen lassen! Auf dem Server ist nur ein Fileserver Antivirus. Microsoft Updates muss ich prüfen! Wenn der Server als Relay verwendet wurde, sehe ich die Nachrichten im System Manager unter Nachrichtenverfolgung ? PS: Es ist ein Server den wir in die Betreuung übernommen haben!
    Donnerstag, 24. Januar 2013 21:28
  • Hi PatrickMs,

    im Nachrichtentracking solltest du sehen was passiert. Ansonsten schau auch mal ins SMTP-Log:
    http://www.msexchange.org/articles-tutorials/exchange-server-2000/monitoring-operations/Logging_the_SMTP_Service.html

    Durch such das Log mal nach Benutzer@spam - mal schauen, ob du was findest und ob du nachvollziehen kannst, von wo die Mails kommen.

    Sie können auch von innen über einen autorisierten Weg gehen...


    Viele Grüße
    Christian

    Freitag, 25. Januar 2013 05:30
    Moderator
  • Komischer Weise ist die Antwort von Christian Schulenberg nicht mehr da.

    Deswegen hier noch mal aus meiner Benachrichtigung:

    "Hi PatrickMs,

    im Nachrichtentracking solltest du sehen was passiert. Ansonsten schau auch mal ins SMTP-Log:
    http://www.msexchange.org/articles-tutorials/exchange-server-2000/monitoring-operations/Logging_the_SMTP_Service.html

    Durch such das Log mal nach Benutzer@spam - mal schauen, ob du was findest und ob du nachvollziehen kannst, von wo die Mails kommen.

    Sie können auch von innen über einen autorisierten Weg gehen..."

    Danke für den Artikel. Mit deinem letzten Satz, meinst du vermutlich einen Client PC der den Exchange Server benutzt?

    Ich lasse mir auch mal die Zeiten und Adressen geben, die noch in der Warteschlange extern sitzen. Dann kann ich den Zeitraum eingrenzen!

    Danke

    Freitag, 25. Januar 2013 06:47
  • Hi PatrickMs,

    Komischer Weise ist die Antwort von Christian Schulenberg nicht mehr da.

    der post ist noch nicht da und die Foren kämpfen gerade mit Bugs, die hoffentlich zeitnah behoben werden:
    http://social.microsoft.com/Forums/en-US/reportabug/thread/39280ccb-3a39-4519-b104-b4b787416db7

    Ich poste über die NNTP-Bridge, aber ich konnte meinen Eintrag eben auch über den Browser sehen...


    Viele Grüße
    Christian

    Freitag, 25. Januar 2013 06:56
    Moderator
  • Ich habe mir gerade auf dem Exchange unten Nachrichten Status mir den E-Mail Verkehr der letzten Tage angeschaut. Da ist mir aufgefallen, dass von einer unbekannten Adresse die nicht aus dem Netzwerk stammt an div. Adressen verschickt wurde.

    Im Log habe nach der Adresse gesucht und dies gefunden! Sehe ich es richtig, dass von 217.86.231.91 angenommen wurde und verschickt wurde!

    2013-01-23 08:48:35 217.86.231.91 User SMTPSVC1 G1679600D001 192.168.100.235 0 EHLO - +User 250 0 317 9 0 SMTP - - - -
    2013-01-23 08:48:35 217.86.231.91 User SMTPSVC1 G1679600D001 192.168.100.235 0 MAIL - +FROM:<infos@crediteurope.ru> 250 0 46 33 0 SMTP - - - -
    2013-01-23 08:48:36 217.86.231.91 User SMTPSVC1 G1679600D001 192.168.100.235 0 RCPT - +TO:<bulat1601@mail.ru> 250 0 30 27 0 SMTP - - - -
    2013-01-23 08:48:36 217.86.231.91 User SMTPSVC1 G1679600D001 192.168.100.235 0 RCPT - +TO:<bulat1953@mail.ru> 250 0 30 27 0 SMTP - - - -
    2013-01-23 08:48:36 217.86.231.91 User SMTPSVC1 G1679600D001 192.168.100.235 0 RCPT - +TO:<bulat1kilov@mail.ru> 250 0 32 29 0 SMTP - - - -
    2013-01-23 08:48:36 217.86.231.91 User SMTPSVC1 G1679600D001 192.168.100.235 0 RCPT - +TO:<bulat2105@yandex.ru> 250 0 32 29 0

    Freitag, 25. Januar 2013 07:52
  • Ich habe diese Punkte geprüft:
    • Der virtuelle Standardserver für SMTP
    • Der SMTP-Connector

    Laut dem KB Artikel sind diese in Ordnung!

    Freitag, 25. Januar 2013 08:15
  • Hallo,

    die IP gehört der Telekom

    http://www.utrace.de/?query=217.86.231.91

    Wie ist der Kunde angebunden?

    Client / Trojaner auf dem Server kann ausgeschlossen werden?

    Wenn du laut Test kein Open Relay hast, ist vielleicht ein Userkonto verwendet worden, Zugangsdaten geknackt?

    ;)


    Gruß Norbert

    Freitag, 25. Januar 2013 09:19
    Moderator
  • Sind nicht bei Telekom sondern bei der Versatel! Also Internet Technisch...

    Freitag, 25. Januar 2013 09:23
  • <center>Scanning, please wait...</center>
    << 220 g1679600d001.xxx.ads Microsoft ESMTP MAIL Service, Version: 6.0.3790.4675 ready at Fri, 25 Jan 2013 10:43:05 +0100
    >> HELO 192.168.5.220
    << 250 g1679600d001.xxxxx.ads Hello [208.82.183.220]

    >> MAIL FROM:<spammer@192.168.5.220>
    << 250 2.1.0 spammer@192.168.5.220....Sender OK
    >> RCPT TO:<spammee@xxxxx>
    << 550 5.7.1 Unable to relay for spammee@xxxx
    >> RSET
    << 250 2.0.0 Resetting

    >> MAIL FROM:<spammer@192.168.5.220>
    << 250 2.1.0 spammer@192.168.5.220....Sender OK
    >> RCPT TO:<"spammee@xxxx">
    << 250 2.1.5 "spammee@xxxx"@xxxx.ms

    <center>WARNING!
    Our tests indicate your mail server allows open relay.
    Click Here to view recommended solutions.
    </center>
    Freitag, 25. Januar 2013 09:45
  • Ich habe die Empfängerrichtlinie aktiv geschaltet. Jetzt bestehe ich auch den Relay Test.
    Freitag, 25. Januar 2013 11:34
  • Hi PatrickMs,

    Ich habe die Empfängerrichtlinie aktiv geschaltet. Jetzt bestehe ich auch den Relay Test.

    damit ist jetzt alles iO?


    Viele Grüße
    Christian

    Freitag, 25. Januar 2013 21:06
    Moderator
  • Hi Cristian,

    ich habe das Wochenende abgewartet und es ist mal wieder passiert!

    2013-01-27 23:55:20 84.253.21.171 User SMTPSVC1 G1679600D001 192.168.100.235 0 EHLO - +User 250 0 317 9 0 SMTP - - - -
    2013-01-27 23:55:20 84.253.21.171 User SMTPSVC1 G1679600D001 192.168.100.235 0 MAIL - +FROM:<infos@amazon.ch> 250 0 40 27 0 SMTP - - - -
    2013-01-27 23:55:20 84.253.21.171 User SMTPSVC1 G1679600D001 192.168.100.235 0 RCPT - +TO:<abuse@swissclassifieds.ch> 250 0 38 35 0 SMTP - - - -
    2013-01-27 23:55:20 84.253.21.171 User SMTPSVC1 G1679600D001 192.168.100.235 0 RCPT - +TO:<abuse@swisscom.com> 250 0 31 28 0 SMTP - - - -
    2013-01-27 23:55:20 84.253.21.171 User SMTPSVC1 G1679600D001 192.168.100.235 0 DATA - <G1679600D001aZbLAX300000045@g

    Montag, 28. Januar 2013 09:30
  • Hi,

    die Verbindung läuft Authentifiziert ab, oder? Schau mal in deinem ersten Link unter "Überprüfen, ob ein authentifizierter Benutzer Relaying durchführt".

    Grüße Christian

    Montag, 28. Januar 2013 20:27
    Moderator
  • Hallo Christian, Danke für die Rückmeldung. Der angesprochene Bereich im KB muss ich durcharbeiten. Das Problem tritt meist in der Nacht auf. Kennwörter werden aktuell geändert. Welche Verbindung meinst genau mit der Authentifizierung ? Ich habe eigentlich die Bereiche geprüft! Eventuell was übersehen ? Danke
    Montag, 28. Januar 2013 21:07
  • Hi PatrickMs,

    Hallo Christian, Danke für die Rückmeldung. Der angesprochene Bereich im KB muss ich durcharbeiten. Das Problem tritt meist in der Nacht auf. Kennwörter werden aktuell geändert. Welche Verbindung meinst genau mit der Authentifizierung ?

    Du musst die Logs genau prüfen: Was kommt wann von wo mit welchen Credentials. Wenn du genau weißt, was passiert, dann sind die Maßnahmen auch schnell eingerichtet. Ändern aller Passwörter ist immer gut und sollte etwa alle 90 Tage automatisch passieren. Schöner wäre es aber den Account zu finden, über den es geht. Nicht, dass es ein Dienste-Account ist, den du nicht im Blick hast?!?


    Viele Grüße
    Christian

    Dienstag, 29. Januar 2013 06:46
    Moderator