SPAM von intern?

23/09/2008 - 12:20 von Nils Wöhler | Report spam
Hallo NG,

ich verzweifle gerade ein wenig. Heute Morgen kam mein Chef zu mir ins Büro
und sagte, er würde wiede übermàßig viel SPAM bekommen... ich sofort die
Funktion unseres SPAM-Filters (in diesem Fall NoSpamProxy) überprüft -
nichts festzustellen.
Dann habe ich mir einmal die eMails angesehen, die er bekommen hatte.
Auffàllig war, dass manche SPAM-eMails vom Mailserver eines Kunden kamen...
direkt mal den externen Mailserver des Kunden auf Relayaktivitàten
überprüft - nichts zu finden.

Dann habe ich mich auf dem Exchange des Kunden eingeloggt und sehe dort
auch, dass eMails von GabrielapappasLouis@columbiadailyherald.com an meinen
Chef (chef@meinefirma.de) versandt werden.

Beim Kunden ist der eMail-Empfang/Versand folgendermaßen aufgebaut:

eMail empfangen:
eMail => Firewallsystem mit sendmail => weitergeleitet über ISA-Server zum
Exchange

eMail senden:
eMail => Exchange => über ISA-Server zum Smarthost (Firewallsystem mit
sendmail) => Empfànger

Dies ist mal ein Logfileauszug:

2008-09-23 00:17:33 82.100.*.* OutboundConnectionResponse SMTPSVC1
EXCHANGESRV - 25 - -
220+mailrelay1.kunde.com+ESMTP+Tue,+23+Sep+2008+02:17:33++0200 0 0 63 0 31
SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionCommand SMTPSVC1
EXCHANGESRV - 25 EHLO - smtp1.kunde.com 0 0 4 0 31 SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionResponse SMTPSVC1
EXCHANGESRV - 25 - -
250-mailrelay1.kunde.com+Hello+[82.100.219.118],+pleased+to+meet+you 0 0 69
0 31 SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionCommand SMTPSVC1
EXCHANGESRV - 25 MAIL - FROM:<GabrielapappasLouis@columbiadailyherald.com> 0
0 4 0 31 SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionResponse SMTPSVC1
EXCHANGESRV - 25 - -
250+2.1.0+<GabrielapappasLouis@columbiadailyherald.com>...+Sender+ok 0 0 68
0 125 SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionCommand SMTPSVC1
EXCHANGESRV - 25 RCPT - TO:<chef@meinefirma.de> 0 0 4 0 125 SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionResponse SMTPSVC1
EXCHANGESRV - 25 - - 250+2.1.5+<chef@meinefirma.de>...+Recipient+ok 0 0 51 0
250 SMTP - - - -
2008-09-23 00:17:33 82.100.*.* OutboundConnectionCommand SMTPSVC1
EXCHANGESRV - 25 DATA - - 0 0 4 0 250 SMTP - - - -

82.100.*.* = Eingetragener Smarthost im Exchange => Kunden-Firewall mit
sendmail als relay
EXCHANGESRV = Kunden-Exchange-Server von dem das Logfile ist
mailrelay1.kunde.com => Kunden-Firewall mit sendmail als relay auf den der
Exchange zum versenden zugreift
smtp1.kunde.com => Interner Kunden-Exchange

Jemand eine Idee, wo ich noch ansetzen könnte, um herauszufinden, wieso mein
Chef von dem Kunden vollgemüllt wird? In verdacht habe ich irgendeinen
Unternehmens-PC, der ordentlich SPAM verschickt - allerdings kann ich über
die ganzen Exchange-Logfiles und Nachrichtenverfolgung leider nicht
herausfinden, um welchen PC es sich handelt, da keine Eintràge geschrieben
werden.

Danke!!


Gruß Nils

Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
 

Lesen sie die antworten

#1 Jochen Ruhland
23/09/2008 - 21:16 | Warnen spam
Hi,

Nils Wöhler schrieb:

Dann habe ich mir einmal die eMails angesehen, die er bekommen hatte.
Auffàllig war, dass manche SPAM-eMails vom Mailserver eines Kunden
kamen...



wie schauen denn die Internet-Header einer solchen Email aus?

Jochen

Ähnliche fragen