Toon posts:

[SBS2003] Exchange Uitgaande Spam

Pagina: 1
Acties:
  • 422 views sinds 30-01-2008
  • Reageer

vrijdag 13 april 2007 09:48

Acties:
  • xiD
  • Registratie: Oktober 2003
  • Laatst online: 14-02 07:36

xiD

12345

Topicstarter
Goedemorgen Gotters,

Vanmorgen kreeg ik een server onder mn neus waarvan ze zeiden dat hij spam zou versturen, het zal wel dacht ik. Ze waren wel geblokkeerd op de SMTP server van hun provider en ik dacht het zal wel een geinfecteerd werkstation zijn.

Toch maar een kijkje op de server, en tot mijn verbazing nam inetinfo.exe en nogal groote hoeveelheid geheugen (200mb). Na een kijkje in de queues van de Exchange server schrok ik me rot. Er staan daar zo'n 2850 SMTP-Connectors van SmallBusiness - blabla.it toegevoegd. Zie screenshot.

Nu is mijn vraag hoe kom je eraan? Maar ook hoe kom je eraf? Ik heb 't internet afgespeurd maar kan niets dat mij echt kan helpen vinden. De server staan de nieuwste updates op incl. SP2.

67890

vrijdag 13 april 2007 10:46

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

stop die queue en donder 'm leeg (da's 1, maak even een backup copy van die queue voor forensic onderzoek).
Zorg er dan voor dat je weer relay-proof bent.

Exchange 2003 is default relay-proof dus er is iets gedaan op die server door iemand om dat te vernaggelen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 13 april 2007 11:21

Acties:
  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 20:34

Qwerty-273

Meukposter

***** ***

Waarschijnlijk heeft 'men' toegang gekregen tot de machine, een admin account met een zeer slecht wachtwoord en dan inloggen via RDP. Of gewoon zelfs een standaard user met admin rechten die een zwak wachtwoord had, en waar 'men' mee heeft ingelogd remote.
Loop je beveiliging na van die server, wie mag er remote op inloggen, etc.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

vrijdag 13 april 2007 11:42

Acties:
  • xiD
  • Registratie: Oktober 2003
  • Laatst online: 14-02 07:36

xiD

12345

Topicstarter
ik heb alle (spam)items in de queue bevroren nu, dus ze mogen niets meer. Maar leeg donderen mag ik m niet. Ik kan iig de SMTP connectors niet verwijderen. Het is geen open relay dat heb ik al gecheckt. Ik ga alle gebruikers wel is langs lopen. Verder heb ik ook alle mail naar *.it geblokkeerd omdat ze daar allemaal op eindigen. Vanuit het bedrijf wordt daar toch niet naar gemailt.

67890

vrijdag 13 april 2007 12:06

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:37

Rolfie

Toevallig niet een eenvoudig username/password ergens op staan, bv administrator/admin test/test enz enz?

vrijdag 13 april 2007 12:43

Acties:
  • xiD
  • Registratie: Oktober 2003
  • Laatst online: 14-02 07:36

xiD

12345

Topicstarter
Nee er zit een best uitgebreidde wachtwoord policy op. Er zijn wel 2 users met admin rechten maar dat is om bepaalde redenen.

Iemand enig idee hoe ik de queue leeg kan krijgen?

67890

vrijdag 13 april 2007 12:46

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:18

Jazzy

Moderator SSC/PB

Moooooh!

Je bedoelt dat je echt meerdere SMTP-connectors hebt? Dan mag je de server wel uitzetten want dan is er echt iets goed mis.
x1dje schreef op vrijdag 13 april 2007 @ 12:43:
Iemand enig idee hoe ik de queue leeg kan krijgen?
Je post in PNS, zoek dan zelf even uit doe je dit kunt doen.

[ Voor 46% gewijzigd door Jazzy op 13-04-2007 12:49 ]

Exchange en Office 365 specialist. Mijn blog.

vrijdag 13 april 2007 12:59

Acties:
  • asing
  • Registratie: Oktober 2001
  • Laatst online: 22:49

asing

Dat zijn er wel HEEL veel....

Ik kan zo niks aan de server zien in de screendump. Er is ook maar één SMTP connector aanwezig. Aangezien relaying uit staat kan ik maar één ding bedenken:

Eén van je machines in het netwerk is besmet met iets wat dit veroorzaakt. Relaying van een intern adres (ik@mijnbedrijf.nl) naar buiten is gewoon toegestaan. De vraag is nu welke machine in je netwerk spambotje loopt te spelen. Ik zou eens de message tracking tool gebruiken en zoeken naar alles wat naar 4ad.it etc is gestuurd.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

vrijdag 13 april 2007 14:31

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:37

Rolfie

How to troubleshoot mail relay issues in Exchange Server 2003 and in Exchange 2000 Server
Securing Your Exchange Server

Control idd maar eens al je logging. Vooral je SMTP logging zou ik eerst een goed nalopen. Mits die aan staat natuurlijk.

Kijk ook maar eens goed naar het het volgende:
Disable Authenticated Relaying

If you would like to disable the ability for any users, even authenticated ones, to relay through your server, then you need to disable access. This does not affect the ability of your Outlook users to send email, nor the ability to receive email.

Expand ESM, Admin Groups, <your admin group>, Servers, <your server>, Protocols, SMTP.
Right click on "Default SMTP Virtual Server" and choose Properties.
Click on the "Access Tab" and then the "Relay" button at the bottom.
Ensure that "Only the list below" is enabled and there are no servers list.
Deselect the next option "Allows all computers which successfully authenticate to relay, regardless of the list above."
Click Apply/OK to exit from this option.

zaterdag 14 april 2007 22:35

Acties:
  • Powermage
  • Registratie: Juli 2001
  • Laatst online: 12-02 23:08

Powermage

even een wistjedatje...
Exchange heeft eigen updates, server 2003 SP2 doet vrij weinig met Exchange..

en een wistjedatje 2:
Deze link dat allemaal voor je kan controleren

verder is het allemaal al gezegt,
verander voor de zekerheid alle wachtwoorden, controleer op rare users en controleer nog maar een keer of je echt geen open relay hebt (wanneer je email via batched SMTP binnen krijgt zorg dat je SMTP connector alleen mail accepteerd van je provider zijn servers, of blokkeer dit op je router/firewall)

Join the club

zaterdag 14 april 2007 22:41

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:18

Jazzy

Moderator SSC/PB

Moooooh!

Powermage schreef op zaterdag 14 april 2007 @ 22:35:
en een wistjedatje 2:
Deze link dat allemaal voor je kan controleren
MU geeft geen servicepacks voor Exchange. :)

Exchange en Office 365 specialist. Mijn blog.

zaterdag 14 april 2007 22:53

Acties:
  • Tomba
  • Registratie: Mei 2000
  • Laatst online: 14-02 22:29

Tomba

Quis custodiet ipsos custodes?

Mocht het een SBS server zijn, kan het ook dit probleem zijn: Many unexpected outbound e-mail messages appear in the SMTP queue in Small Business Server 2003

tomba.tweakblogs.net || Mijn V&A

zaterdag 14 april 2007 22:53

Acties:
  • Powermage
  • Registratie: Juli 2001
  • Laatst online: 12-02 23:08

Powermage

Jazzy schreef op zaterdag 14 april 2007 @ 22:41:
[...]
MU geeft geen servicepacks voor Exchange. :)
In iedergeval wel:
• Critical Updates
• Rollups
• Security Updates

Join the club

zaterdag 14 april 2007 23:05

Acties:
  • Caeruleus
  • Registratie: November 2001
  • Laatst online: 14-02 20:29

Caeruleus

Staan Non Delivery Reports naar internet aan? Als je veel spam binnen krijgt naar niet bestaande adressen zal Exchange op al deze spam berichten een non delivery reply sturen. Omdat veel spam afzenders niet bestaan zullen deze in de queue blijven staan.

no animals were harmed during the production of this message

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq