gehackt?

27/03/2008 - 13:55 von betterinter.net | Report spam
Ein Exchange Server sendet 'ne Menge Mails mit Absender accounts@paypal.us
raus.
Open Relay Überprüfungen waren ok.
Bei den Relay Restrictions im SMTP Protokoll wurde "Only the list below"
(Liste ist leer) und "Allow all computers which successfully authenticate to
relay, regardless of the list above." enabled. D.h. nur authentifizierte
User können über den Exchange versenden (aber von allen Locations).

Folgendes habe ich jetzt im Log gefunden:

2008-03-27 09:20:44 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 EHLO -
+User 250 0 302 9 2297 SMTP - - - -
2008-03-27 09:20:48 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 MAIL -
+FROM:<accounts@paypal.us> 250 0 43 30 0 SMTP - - - -
2008-03-27 09:20:48 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_eyadema_117@hotmail.com> 250 0 42 39 0 SMTP - - - -
2008-03-27 09:20:50 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_eyadema_3422@hotmail.com> 250 0 43 40 0 SMTP - - - -
2008-03-27 09:20:50 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_eyadema51@hotmail.com> 250 0 40 37 0 SMTP - - - -
2008-03-27 09:20:50 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_ibrah@yahoo.com> 250 0 34 31 0 SMTP - - - -
2008-03-27 09:20:51 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_id10@hotmail.fr> 250 0 34 31 0 SMTP - - - -
2008-03-27 09:20:51 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_id200@hotmail.fr> 250 0 35 32 0 SMTP - - - -
2008-03-27 09:20:51 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_idris65@yahoo.com> 250 0 36 33 62 SMTP - - - -
2008-03-27 09:20:52 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_idris70@yahoo.ca> 250 0 35 32 0 SMTP - - - -
2008-03-27 09:20:52 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0 RCPT -
+TO:<alice_idris80@yahoo.fr> 250 0 35 32 16 SMTP - - - -
...

Für mich sieht es aus, als ob sich Jemand von der IP 66.15.137.112
erfolgeich authentifiziert hat und jetzt munter Mails versendet!! Sehe ich
das richtig?

1) Wie kann ich jetzt herausfinden, mit welchen Benutzer er sich
authentifiziert?

2) Wie kann ich verhindern, dass Mails über einen Exchange versendet werden,
dessen Absenderadresse nicht in den Empfàngerrichtlinien definiert sind?

3) Wie kann ich einschrànken, dass Relay nur möglich ist, wenn der Client
sich in einem bestimmten IP Netz befindet UND authentifiziert ist?
 

Lesen sie die antworten

#1 betterinter.net
27/03/2008 - 15:23 | Warnen spam
BTW: Es handelt sich um Exchange 2003 mit allen SP's und Hotfixes ...


"betterinter.net" schrieb im Newsbeitrag
news:
Ein Exchange Server sendet 'ne Menge Mails mit Absender
raus.
Open Relay Überprüfungen waren ok.
Bei den Relay Restrictions im SMTP Protokoll wurde "Only the list below"
(Liste ist leer) und "Allow all computers which successfully authenticate


to
relay, regardless of the list above." enabled. D.h. nur authentifizierte
User können über den Exchange versenden (aber von allen Locations).

Folgendes habe ich jetzt im Log gefunden:

2008-03-27 09:20:44 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


EHLO -
+User 250 0 302 9 2297 SMTP - - - -
2008-03-27 09:20:48 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


MAIL -
+FROM: 250 0 43 30 0 SMTP - - - -
2008-03-27 09:20:48 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 42 39 0 SMTP - - - -
2008-03-27 09:20:50 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 43 40 0 SMTP - - - -
2008-03-27 09:20:50 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 40 37 0 SMTP - - - -
2008-03-27 09:20:50 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 34 31 0 SMTP - - - -
2008-03-27 09:20:51 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 34 31 0 SMTP - - - -
2008-03-27 09:20:51 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 35 32 0 SMTP - - - -
2008-03-27 09:20:51 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 36 33 62 SMTP - - - -
2008-03-27 09:20:52 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 35 32 0 SMTP - - - -
2008-03-27 09:20:52 66.15.137.112 User SMTPSVC1 SERVER 192.168.1.2 0


RCPT -
+TO: 250 0 35 32 16 SMTP - - - -
...

Für mich sieht es aus, als ob sich Jemand von der IP 66.15.137.112
erfolgeich authentifiziert hat und jetzt munter Mails versendet!! Sehe ich
das richtig?

1) Wie kann ich jetzt herausfinden, mit welchen Benutzer er sich
authentifiziert?

2) Wie kann ich verhindern, dass Mails über einen Exchange versendet


werden,
dessen Absenderadresse nicht in den Empfàngerrichtlinien definiert sind?

3) Wie kann ich einschrànken, dass Relay nur möglich ist, wenn der Client
sich in einem bestimmten IP Netz befindet UND authentifiziert ist?


Ähnliche fragen