Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Spam relay beim Exchange 2003

1 view
Skip to first unread message

Sonja Peters

unread,
Feb 16, 2010, 9:01:14 AM2/16/10
to
Sehr geehrte Profis,

bislang war ich der Meinung, alles getan zu haben um unseren firmeneigenen
Exchangeserver 2003 SP2 gegen unbefugtes Relay zu sperren, doch hatten wir
offenbar vor zwar Tagen eine Kompromitierung.

Ich habe darauf hin �ber http://www.abuse.net/relay.html unseren Server
pr�fen lassen. Bis zum Test 8 bin ich gekommen (es gibt wohl bis zu 16) und
habe das Ergebnis bekommen:

Relay test 8
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@meineDYNDom�ne.ath.cx>
<<< 250 2.1.0 spamtest@meineDYNDom�ne.ath.cx....Sender OK
>>> RCPT TO:<"securi...@abuse.net">
<<< 250 2.1.5 "securi...@abuse.net"@meineWEBDom�ne.de

Ich bin verzweifelt, weil ich die Begr�ndung nicht finde.
Ich habe allerdings die ausgehenden Nachrichten deaktiviert und hatte darauf
gehofft, die abgesetzte Mail in den Warteschlangen zu sehen. Die blieb aber
leer, was mir Hoffnung macht, das niemand von extern auf unseren Server
verschickt sondern wir einen internen Idioten haben. Das pr�fen wir
zeitgleich...

Kann jemand einen Tip geben?

Gru� aus Heidelberg

Walter Steinsdorfer [MVP]

unread,
Feb 16, 2010, 12:34:01 PM2/16/10
to
Hallo Sonja,

was genau habt ihr denn eingestellt in eurem Exchange Server bzw. SMTP?

--
Viele Gr��e aus Seattle

Walter Steinsdorfer [MVP]
http://msmvps.com/blogs/wstein

Frank Carius

unread,
Feb 20, 2010, 11:20:54 AM2/20/10
to

"Sonja Peters" <n...@spam.spam> schrieb im Newsbeitrag
news:uu77CCxr...@TK2MSFTNGP05.phx.gbl...


> bislang war ich der Meinung, alles getan zu haben um unseren firmeneigenen
> Exchangeserver 2003 SP2 gegen unbefugtes Relay zu sperren, doch hatten wir
> offenbar vor zwar Tagen eine Kompromitierung.

> Relay test 8


>>>> RSET
> <<< 250 2.0.0 Resetting
>>>> MAIL FROM:<spamtest@meineDYNDom�ne.ath.cx>
> <<< 250 2.1.0 spamtest@meineDYNDom�ne.ath.cx....Sender OK
>>>> RCPT TO:<"securi...@abuse.net">
> <<< 250 2.1.5 "securi...@abuse.net"@meineWEBDom�ne.de

Abuse fordert, dass man keine Mail annimmt, die man nicht weiter geben
w�rde.
bei dem Test gibt Abuse nun vor, einer von euch zu sein und nach draussen zu
senden.
Also ein klassisches Open Relay

> Ich bin verzweifelt, weil ich die Begr�ndung nicht finde.

Wirst du auch nicht. die k�nnen ja nicht alle MAilsysteme beschreiben

> Ich habe allerdings die ausgehenden Nachrichten deaktiviert und hatte
> darauf gehofft, die abgesetzte Mail in den Warteschlangen zu sehen. Die
> blieb aber leer, was mir Hoffnung macht, das niemand von extern auf
> unseren Server verschickt sondern wir einen internen Idioten haben. Das
> pr�fen wir zeitgleich...

Absue schliest den senderversuch nicht ab., daher wirst du nie ne mail bei
dir sehen
Wenn nach dem "RCPT TO" von deinem Server ein 250 OK kommt, dann bricht
Abuse ab.

Anhand der Verhaltens "k�nnte" es sein, das du ein offenes relay hast.. Es
MUSS aber nicht der Fall sein

Bei Ex2003 kann das mehrere Ursachen haben
1. Gastkonto ist nicht gesperrt
2. SMTP-Connector erlaubt jedem Relay

http://www.msxfaq.de/notfall/relay.htm

die anleitung auf http://www.msxfaq.de/internet/relay2000.htm ist zwar nicht
explizit f�r Ex2003 aber passt schon.

Und dann solltest du von aussen es einmal durchtesten.
Wenn du mir deine "richtige" Domain" nennst., dann kann ich das f�r dich
machen.
Per Mail oder auch hier in der news.
Normal lesen Spammer nicht die MSXFAQ sondern scannen einfach Subnetze.
meine Statistiken zeigen mir dass das mehrfach pro Stunde passiert, dass
meine feste IP derart "geprobt" wird.
Wenn du also ein offenes Relay bist, dann wissen die b�sen das schon.
Schau einfach mal, ob dein Messagetracking viel mehr Mails enth�lt, die du
so nicht kennst.


> Kann jemand einen Tip geben?


--
Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Wenn es die Zeit erlaubt, dann rufe ich auch an. Nummer/Mailadresse ?
:-) --

Sonja Peters

unread,
Feb 24, 2010, 8:05:58 PM2/24/10
to
Hallo Frank,

dank erstmal f�r Deine ausf�hrliche Antwort. Ich werde mir vorerst die Links
vornehmen und durcharbeiten, sollte ich hier keinen Erfolg habe, oder eben
doch, werde ich mich gerne an Dich wegen eines Tests wenden. vorab mu� ich
unseren Chef fragen...

Lieben Gru�
SP

"Frank Carius" <fr...@carius.de.spamstop> schrieb im Newsbeitrag
news:OXzEtiks...@TK2MSFTNGP05.phx.gbl...

Sonja Peters

unread,
Feb 27, 2010, 4:25:26 AM2/27/10
to
Guten Morgen Frank,

wir haben soweit alles gepr�ft und ich w�re Dir f�r einen Test Deinerseits
sehr dankbar. Die IP Adresse des Exchange lautet: 217.92.112.167. Bitte gib
mir doch eine kurze R�ckmeldung, ob wir unbewu�t noch eine Schwachstelle
haben.

Gru�
Sonja

"Frank Carius" <fr...@carius.de.spamstop> schrieb im Newsbeitrag
news:OXzEtiks...@TK2MSFTNGP05.phx.gbl...
>
>

Frank Carius

unread,
Feb 27, 2010, 8:23:38 PM2/27/10
to
Also ich konnte eben dich nicht als Relay missbrauchen


220 mediterana.de Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready
at
Sun, 28 Feb 2010 02:21:06 +0100
helo test.de
250 mediterana.de Hello [79.197.101.102]
mail from:fr...@carius.de
250 2.1.0 fr...@cariusxx.de....Sender OK
rcpt to:frank....@netatworkxx.de
550 5.7.1 Unable to relay for frank....@netatworkxx.de
rset
250 2.0.0 Resetting
mail from:ad...@mediteranaxx.de
250 2.1.0 ad...@mediterana.de....Sender OK
rcpt to:frank....@netatworkxx.de
550 5.7.1 Unable to relay for frank....@netatworkxx.de

die xx muss man sich raus denken

Sieht soweit nicht schlecht aus


"Sonja Peters" <n...@spam.spam> schrieb im Newsbeitrag

news:#LNAP74t...@TK2MSFTNGP04.phx.gbl...

0 new messages