Forums Neueste Beiträge
 

SPAM-Ursache finden

03/09/2009 - 09:27 von Steffen Schulz | Report spam
Hallo NG,

sehe ich im Exchange irgendwo, von welchem Client eine Mail an den
Exchange übergeben wurde?

Hintergrund:
Hier làuft ein Exchange 2000, der massig SPAM in der Weltgeschichte
verteilt, das aber scheinbar nur an einigen Tagen. Die Logfiles vom
Nachrichtentracking sind an manchen Tagen 3-4 mal so groß wie an den
restlichen Tagen. Der Server ist kein offenes Relay, das habe ich schon
getestet (telnet von extern, unable to relay). Der Großteil der Mails,
die versendet wurden, haben immer dieselbe Absenderadresse (nix sinnvolles)

hier mal eine Zeile aus unserem Tracking-Log:

2009-8-24 6:29:1 GMT 116.26.128.106 pefdndw.com unser_Smarthost.de
unserExchange 192.168.22.104 russell_0_0@yahoo.com.tw 1031
b7816bb1e7ba4a93a9229dc28aa26f3c@86ed15d34661403e87e69ceed5d8a36f 0 0 4869
10 2009-8-23 15:42:31 GMT 0 Version: 5.0.2195.6713 -
xyciewch@twbxfgk.com -

Da diese Mails scheinbar nur an einigen Tagen verschickt werden, habe
ich den Verdacht, das da ein Rechner aus unserem Netz sich was
eingefangen hat, möchte aber nicht unbedingt an jeden Rechner laufen
müssen, sondern im Vorfeld schon den Übeltàter identifizieren, um dann
gezielt den betroffenen Rechner zu bereinigen. Die andere Möglichkeit
wàre natürlich, den Netzwerkverkehr zu überwachen, aber ich hoffe ja
noch, das Exchange mir irgendwo die Möglichkeit gibt, das direkt auszulesen.

Danke fürs Lesen
Steffen
 

Lesen sie die antworten

#1 Walter Steinsdorfer [MVP]
03/09/2009 - 09:39 | Warnen spam
Hallo Steffen,

sehe ich im Exchange irgendwo, von welchem Client eine Mail an den
Exchange übergeben wurde?

Hintergrund:
Hier làuft ein Exchange 2000, der massig SPAM in der Weltgeschichte
verteilt, das aber scheinbar nur an einigen Tagen. Die Logfiles vom
Nachrichtentracking sind an manchen Tagen 3-4 mal so groß wie an den
restlichen Tagen. Der Server ist kein offenes Relay, das habe ich schon
getestet (telnet von extern, unable to relay). Der Großteil der Mails, die
versendet wurden, haben immer dieselbe Absenderadresse (nix sinnvolles)

hier mal eine Zeile aus unserem Tracking-Log:

2009-8-24 6:29:1 GMT 116.26.128.106 pefdndw.com unser_Smarthost.de
unserExchange 192.168.22.104 1031
0 0 4869
10 2009-8-23 15:42:31 GMT 0 Version: 5.0.2195.6713 -
-

Da diese Mails scheinbar nur an einigen Tagen verschickt werden, habe ich
den Verdacht, das da ein Rechner aus unserem Netz sich was eingefangen
hat, möchte aber nicht unbedingt an jeden Rechner laufen müssen, sondern
im Vorfeld schon den Übeltàter identifizieren, um dann gezielt den
betroffenen Rechner zu bereinigen. Die andere Möglichkeit wàre natürlich,
den Netzwerkverkehr zu überwachen, aber ich hoffe ja noch, das Exchange
mir irgendwo die Möglichkeit gibt, das direkt auszulesen.




Vermutung:

der Exchange 2000 hat noch keine Empfàngerprüfung. D.h. bei der Zustellung
einer Email für die es keinen gültigen Empfànger in eurer Domàne gibt sendet
er immer wieder einen NDR raus (findet die Empfàngerprüfung wàhrend der
SMTP-Kommunikation statt muß das der sendende Host tun). Auf diese Art und
Weise wird Spam als NDR verschickt. Da der Absender wahrscheinlich gefàlscht
ist werden viele Leute von euch NDR-Spam bekommen die gar keine Email an
euch geschickt haben.

Wie kannst du nachschauen ob das so ist: Im VSI1 Verzeichnis auf der
Festplatte kannt du die Emails in der Warteschlange (.eml) per Notepad
/Outlook Express öffnen. Da siehst du sehr schnell was es genau ist.

hth

Viele Grüße aus München

Walter Steinsdorfer [MVP]
http://msmvps.com/blogs/wstein

Ähnliche fragen