medien-rs
Goto Top

SBS 2003 - wird als Spambot missbraucht - offene Relays

Mein SBS 2003 wird als Spam-versender missbraucht. Ich habe laut Relay Checker offene Relays.
Die Exchange Einstellungen sind so konfiguriert, dass nur angemeldete User Mails ver senden können.

Hallo!

Ich habe eine schreiben von der Telekom bekommen, in dem steht, dass unser Mailserver (Exchange 2003) zum versendne von Spam missbraucht wird.
Ich habe alles gecheckt, die Exchange EInstellungen sind so, dass nur angemeldete User mails versenden können.

Ich habe gelesen, das der Grund offene Relays sein können.
Wenn ich einen Rlay Checker nehme, werden mir auch offene Relasys angezeigt
Doch wie schliesse ich diese?


Kann mir jemand helfen? Die Telekom will uns sonst den Saft abdrehen...


Den Header, den ich von der Telekom bekommen habe sieht wie folgt aus:


in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung : 3
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM


IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 25 Aug 2011 19:58:33 -0000, entspricht deutscher Zeit: 25.08.2011, 21:58:33 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php

Date: Fri, 26 Aug 2011 07:15:06 +0200
From: Trendmicro <abuse>
Message-ID: <a7e4999e5afc2e8ec5e9c3a5b34ec99agenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 25 Aug 2011 19:58:33 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Message-Id: <201108260352.p7Q3qcf6022233SJDC-ERS3-1ctstrendmicro>
Date: Fri, 26 Aug 2011 03:52:34 +0000
To: abuse
From: poyuan_teng
Subject: [20110826] AS3320 Daily Report

777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 22 Aug 2011 20:43:48 -0000, entspricht deutscher Zeit: 22.08.2011, 22:43:48 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Tue, 23 Aug 2011 07:05:43 +0200
From: Trendmicro <abuse>
Message-ID: <37979897f22bef81049e32bbddefebadgenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 22 Aug 2011 20:43:48 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Message-Id: <201108230352.p7N3qvBt041849SJDC-ERS3-1ctstrendmicro>
Date: Tue, 23 Aug 2011 03:52:54 +0000
To: abuse
From: poyuan_teng
Subject: [20110823] AS3320 Daily Report

7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
IP-Adresse: 87.139.231.15
Datum/Uhrzeit des Vorfalls: 20 Aug 2011 16:51:39 -0000, entspricht deutscher Zeit: 20.08.2011, 18:51:39 (MESZ)

Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap

Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/spam.php
Date: Sun, 21 Aug 2011 19:31:49 +0200
From: Trendmicro <abuse>
Message-ID: <397040259bda717d47a3d8b4c43e644egenerated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 87.139.231.15
Timestamp: 20 Aug 2011 16:51:39 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert

Beschwerde wegen Spam-Einlieferung

Liste aus 56756435

Content-Key: 172755

Url: https://administrator.de/contentid/172755

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.09.2011 um 18:03:06 Uhr
Goto Top
Im einfschaten Fall:

Im Exhange einstellen, daß er nur Mails für die eigene Domain annimmt.
Mitglied: medien-rs
medien-rs 07.09.2011 um 18:26:30 Uhr
Goto Top
Kannst du da etwas genauer sein? Wo, wie, - Menupunkt.....

Dann teste ich das aus.

Ich bin leider Exchange-noob, der alte Admin musste die Firma verlassen......
Mitglied: Hubert.N
Hubert.N 07.09.2011 um 18:34:33 Uhr
Goto Top
Moin face-smile

Der Exchange 2003 ist eigentlich von Haus aus gegen unbefugtes Relay geschützt. Zuerst einmal solltest du testen, ob dein Server überhaupt ein offenes Relay ist. z.B. http://www.abuse.net/relay.html

Der Hinweis mit den Einstellungen im Exchange ist schon korrekt, aber was ist, wenn du dir einen netten kleinen "Mitbewohner" eingefangen hast, der deinen Server auf diesem Wege nutzt ?

Ansonsten hier weiterlesen: http://www.msxfaq.de/internet/relay2000.htm

Gruß

Hubert
Mitglied: medien-rs
medien-rs 07.09.2011 um 19:01:45 Uhr
Goto Top
beim link kam (wie erwartet) folgendes raus:

Mail relay testing
This host was recently tested with an anonymous test.

The host appeared to accept a test message for relay.

Jetzt muss ich nur wissen wie man die schliesst........ Alle Google Anleitungen habe ich befolgt
Auch die msxfaq habe ich bereits gelesen und es war so eingestellt...

Symantec Endpoint protection findet nichts.
Ich habe auch eine Netgear Hardware Firewall vorgeschaltet - hilft die irgendwie?

DANKE FÜR EURE HILFE!!!!!!!!!
Mitglied: StefanKittel
StefanKittel 07.09.2011 um 19:32:33 Uhr
Goto Top
Hallo,

Außerdem kann es natürlich sein, dass ein PC aus dem Netzwerk befallen ist und Spam entweder direkt oder über den Exchange verschickt.
Auch ist es möglich, dass ein Außenstehender über eine Sicherheitslücke (z.B. wegen fehlender Updates) direkten Zugriff auf den Server hat oder ein Benutzername und Kennwort verwendet für seinen Spam (z.B. in einem öffentlichen WLAN abgefangen).

Google mal nach der Nachrichtenverfolgung des Exchange.
Dann kannst Du sehen welche Email dieser empfängt und verschickt und warum/von wem.

Stefan
Mitglied: Hubert.N
Hubert.N 07.09.2011 um 19:32:43 Uhr
Goto Top
arbeite noch einmal diesen Artikel ab: http://support.microsoft.com/kb/324958/de

Und ansonsten kann ich dir nur den Rat geben, dir schnell (!!!) kompetente Hilfe ins Haus zu holen.

Es dauert nicht lange und dein Server ist bei allen möglichen Anbietern auf der Blacklist und schon hast du ein weiteres nicht zu unterschätzendes Problem...

Gruß

p.s. die Frage, ob eine Firewall vor Relaymissbrauch schützen kann sagt mir, dass dir doch ein wenig das Grundlagenwissen fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt keine Mails mehr empfangen.
Mitglied: tonabnehmer
tonabnehmer 07.09.2011 um 19:41:57 Uhr
Goto Top
Hi,

ich möchte Dir nicht zu nahe treten, aber eine geschäftskritische Anwendung wie E-Mail bzw. Exchange sollte von jemandem administriert werden, der Ahnung hat. Das gilt besonders, wenn Euer falsch konfigurierter Exchange Server anderen schadet, indem er Spams sendet. Wenn das Wissen im Unternehmen fehlt, könnt Ihr die Administration durch Dienstleister durchführen lassen.

Zum eigentlichen Thema: Die Telekom Header helfen hier nicht weiter. Da steh ja auch klar und deutlich drin: "Es sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden." Viel interessanter wäre das Ergebnis des Relay Tests. Vermutlich musst Du im Exchange einfach konfigurieren, dass er nur Mails für Eure interne Domain annimmt und nicht für externe Domains.

Grüße,
tonabnehmer
Mitglied: medien-rs
medien-rs 07.09.2011 um 19:49:13 Uhr
Goto Top
Denke mal das hier doch ein Trojaner o.ä. im Spiel ist, da wie gestagt eigtl. kein externer Mails versenden kann.
Und wie oben gepostet der Relay test war nicht i.o.

Daher ja die Frage wie ich offene Relays schliesse - die windows kb und die msxfaq habe ich schon vor den postings durchgearbeitet - keine Änderungen.
Genau genommen war der Exchange genau wie dort angegeben konfiguriert.

Wenn ich im Exchange in den Protokollen nachsehe sehe ich auch keine Mails, die nach aussen gehen (ausser gewollte)

Ich schalte jetzt erst mal den SMTP nach aussen ab, Dann wird schonmal nichtsmehr versendet.


P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die Tendenz?

P.P.S. Wo genau im Exchange kann ich sehen, welche Nachrichten verschickt wurden. Alle die ich finde (Smtp Protokoll) sind unauffällig - da sind nur Nachrichten von unseren Usern drin, und die Liste ist momentan - da Urlaub - recht übersichtlich....
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.09.2011 um 20:30:18 Uhr
Goto Top
Zitat von @Hubert.N:
fehlt. Die Antwort ist "nein" - es sei denn du schaltest die Portweiterleitung ab - dann wirst du aber überhaupt
keine Mails mehr empfangen.

So nicht korrekt:

Eine Firewall kann sehr wohl gegen smtp-Mißbrauch schützen. Dazu darf sie den Port aber nicht einfach weiterreichen, sondern muß entweder als smtp-proxy (mit filtern) agieren oder gleich als smtp-gateway. Ob Die Netgear des TO das kann, weiß ich nicht.

An den TO:

Schnellstens jemanden suchen, der sich damit auskennt. Ich persönlich lasse einen exchange (und auch andere Mailserver) nie direkt selbst ans Netz, sondern immer über ein smtp-gatway, der spam und malware abfängt und auch gegen relaying schützt.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.09.2011 um 20:38:28 Uhr
Goto Top
Wenn Du die Frage direkt in google eingibst, findest Du sehr viele passende Antworten. Gleich die ersten Treffer, z.B. bei petri.it oder techrepublic sollten Dich weiterführen.
Mitglied: mrtux
mrtux 07.09.2011 um 21:18:51 Uhr
Goto Top
Hi !

Zitat von @medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.
Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?

Im Zweifel gilt immer Murphys Gesetz! Alle Rechner und Server mit einer (oder mehreren) Live CDs oder Rescue Systemen prüfen, notfalls säubern oder komplett neu aufsetzen.

Wenn Du keine Erfahrung mit der Malwareentfernung hast, dann (wie lks schon schrieb) einen erfahrenen externen Anbieter ins Haus holen. Malware ist heute oftmals schlitzohrig, man denkt sie ist weg und wird dabei böse verarscht....

mrtux
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.09.2011 um 21:38:06 Uhr
Goto Top
Zitat von @medien-rs:
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen - davon gehe ich wie gesagt mittlerweile aus, und ich diesen
Rechner ausfindig mache und bereinige.

ein offenes relay spricht eher für den Server, denn dorthin wird doch wohl smtp weitergeforardet. Oder ist es die netgear, die eventuell einen falsch konfigurierten smtp-proxy hat? -> schau mal von "außen" mit
 telnet servername 25 
, wer antowrtet.

Ist dann Ruhe oder wird er sich auf em Server eingenistet haben. Ich wiess das kann man pauschal nicht ssagen - aber wie ist die
Tendenz?

Sofern man herausfidne will, ob etwas befallen ist, sind live-CDs mit Antivirenprogrammen das Mittel der Wahl. (knoppicilin, rescue-CDs der AV-hersteller, BartPE/WinPE, usw.) Alelrdings ist das langwierig und bestätigt ggf nur, daß man sich etwas eingefangen hat. Wenn die nichts finden, heißt das nicht unbedingt, daß die Kisten sauber sind.

"Säubern" ist eh mit Vorsicht zu genießen. Bei wichtigen Daten ist neu Aufsetzen das Mittel der Wahl.
Mitglied: dog
dog 08.09.2011 um 00:23:28 Uhr
Goto Top
P.S.. angenommen hier im Netzwerk ist wirklich ein Rechner befallen

Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.

Zum Thema Open Relay:

Diese Tests sind meistens nicht zuverlässig, weil sie nicht prüfen ob eine Mail auch wirklich ankommt.
Mein Mailserver sieht z.B. auch wie ein Open Relay aus, weil er alle Mails scheinbar annimmt, aber dann im Hintergrund einfach verwirft.

So einen Test kann man aber auch ganz leicht selber machen, wenn man sich mit dem Exchange von zuhause verbindet und eine Mail an irgendeine Freemailer-Adresse schickt:

http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#Protokoll
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.09.2011 um 01:06:01 Uhr
Goto Top
Zitat von @dog:
Das Problem kann man ganz einfach mit einer Firewall lösen:
In einem Netzwerk mit Exchange ist das auch der einzige Computer, der nach außen Mails empfangen und versenden darf.

Ich würde sogar noch weitergehen und noch ein smtp-gateway in die DMZ packen. Der Exchange ist dann der einzige der mit dem gateway mails austauschen darf und das gateway der einzige der SMTP mit der außenwelt reden darf. Ist zwar aufwendiger, dafür aber ein deutlicher Gewinn an Sicherheit. Beim lokalen Mailserver pfuschen i.d.R. zuviele Leute rum und es gibt zuviele Stellschrauben, die die Gefahr einer Fehlkonfiguration bergen.