[2003] Exchange relay ondanks maatregelen* - Serversoftware en clouddiensten

donderdag 2 oktober 2008 14:33

Acties:

HEY! Dat ben ik!

Topicstarter

Goedenmiddag,

Na een blokkade van xs4all ben ik met wat programma's gaan testen of mijn server echt wel relayed ( ik dacht namelijk van niet)

Alle wachtwoorden van gebruikers als eerst beter beveiligd
ook heb ik onder default smtp virtual server relaying van authenticated users uitgezet
Ook heb ik een recipient filter aangezet dat hij mailtjes moet weigeren die naar <onzin>@domein.nl gestuurd worden dus alleen mail adressen die bestaan.

Wat schets mijn verbazing na al deze maatregelen zie ik dit in de queue

doorgehaald domein naast SMTP is het domein van de klant
Afbeeldingslocatie: http://www.merlinis.nl/relay.jpg

Afbeeldingslocatie: http://www.merlinis.nl/relay.jpg

Afbeeldingslocatie: http://www.merlinis.nl/relay2.jpg

Ik heb nu geen idee meer of hij wel of niet relayed dus heb ik dat getest

server@headshot:/$ ./rlytest-1.22 -f ebotterweg@anderdomein.nl -u info@rdomein.nl mail.domein.nl
Connecting to mail.resim.nl ...
<<< 220 domein.adsl.xs4all.nl Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Thu, 2 Oct 2008 13:56:39 +0200
>>> HELO test.rlytest.com
<<< 250 domein.adsl.xs4all.nl Hello [000. 00.00.000]
>>> MAIL FROM:<ebotterweg@anderdomein.nl>
<<< 250 2.1.0 ebotterweg@anderdomein.nl....Sender OK
>>> RCPT TO:<info@domein.nl>
<<< 250 2.1.5 info@domein.nl
>>> DATA
<<< 354 Start mail input; end with <CRLF>.<CRLF>
>>> (message body)
<<< 250 2.6.0 <rlytest-1222948950-19967@test.rlytest.com> Queued mail for delivery
>>> QUIT
<<< 221 2.0.0 domein.adsl.xs4all.nl Service closing transmission channel
rlytest-1.22: relay accepted - final response code 221

Zoals hierboven lijkt het alsof ik relay

Maar als ik in mij queue kijk lijkt het alsof hij het wel aanpakt maar niet verstuurd.

Gezocht op o.a google en GoT maar ik zie door de bomen het bos niet meer.....

En toevallig vind ik dus van niet! :-)

donderdag 2 oktober 2008 14:41

Acties:

pennenlikker

Dit moet voldoende zijn, je geeft al aan dit gedaan te hebben maar waarschijnlijk ben je ergens een vinkje oid vergeten.

op abuse.net kun je testen.

Suc-6

[ Voor 6% gewijzigd door pennenlikker op 02-10-2008 14:42 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

donderdag 2 oktober 2008 14:45

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

vervelende is dat je windows relaying slecht kan testen op zulke sites omdat sommige test al vinden dat je relayed als je de mail aanpakt maar niet verstuurd....

en heel veel dingen zeggen dat ik NIET relay maar waarom vult de queue zich dan toch......

[ Voor 22% gewijzigd door Multispeed op 02-10-2008 14:49 ]

En toevallig vind ik dus van niet! :-)

donderdag 2 oktober 2008 14:57

Acties:

sanfranjake

Computers can do that?

Al eens gedacht aan een interne pc/laptop met virussen ofzo?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 2 oktober 2008 14:58

Acties:

Hans.Solo

Tank n00bje :P

En er is niet toevallig een PC-tje binnen je domein waar zich een irritant massmailer progseltje op heeft genesteld?
Dan kun je anti-relay instellen tot je een ons weegt, maar aangezien het dan via een authenticated user binnenkomt gaat het vrolijk door.
Tevens, heb je voordat je met de virtual SMTP server aan de gang ging wel je outbound queue geleegd? Anders pakt ie alle outbound mail die er nog stond nog vrolijk mee ondanks het feit dat relayen uit staat en ljkt het nog of je aan het relayen bent.

edit:
waarom moeten mensen nou mijn antwoord posten als ik het aan het intypen ben

[ Voor 8% gewijzigd door Hans.Solo op 02-10-2008 14:59 ]

99 bugs in the code , 99 bugs in the code
Take on down and patch it up...
117 bugs in the code.

donderdag 2 oktober 2008 14:59

Acties:

pistole

Frutter

Multispeed schreef op donderdag 02 oktober 2008 @ 14:45:
vervelende is dat je windows relaying slecht kan testen op zulke sites omdat sommige test al vinden dat je relayed als je de mail aanpakt maar niet verstuurd....

en heel veel dingen zeggen dat ik NIET relay maar waarom vult de queue zich dan toch......

-als je de mail accepteert terwijl hij niet voor jou is dan relay je. Als je de mail dan niet stuurt ben je eigenlijk verkeerd bezig.
-wat staat er daadwerkelijk in die queue? Is dat echt rotzooi?

Ik frut, dus ik epibreer

donderdag 2 oktober 2008 15:12

Acties:

Donnie Darko

Je hebt die filters aangescherpt onder message delivery neem ik aan?
heb je ook bij het smtp protocol (in exchange manager) aangevinkt dat hij deze filters ook daadwerkelijk moet gebruiken?

dus bij de administrative groups je server kiezen dan naar protocol en dan bij Default Smtp server protocol op het tabblad general naar advanced en dan op edit rammen (bij je hostname/ipadres).

ben wel vaker tegen gekomen dat mensen bij message delivery de filters hadden aangepast maar deze vervolgens niet hadden aangezet onder het smtp protocol.

donderdag 2 oktober 2008 15:16

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Ja heb ik en toen de SMTP server een schop gegeven onder services.msc

Nee er is maar 1 pc aan nu en die is zeker NIET besmet

Outbound Queue kan ik legen tot ik een ons weeg

Donnie Darko schreef op donderdag 02 oktober 2008 @ 15:12:
Je hebt die filters aangescherpt onder message delivery neem ik aan?
heb je ook bij het smtp protocol (in exchange manager) aangevinkt dat hij deze filters ook daadwerkelijk moet gebruiken?

dus bij de administrative groups je server kiezen dan naar protocol en dan bij Default Smtp server protocol op het tabblad general naar advanced en dan op edit rammen (bij je hostname/ipadres).

ben wel vaker tegen gekomen dat mensen bij message delivery de filters hadden aangepast maar deze vervolgens niet hadden aangezet onder het smtp protocol.

En toevallig vind ik dus van niet! :-)

donderdag 2 oktober 2008 15:26

Acties:

sanfranjake

Computers can do that?

Multispeed schreef op donderdag 02 oktober 2008 @ 15:16:
Nee er is maar 1 pc aan nu en die is zeker NIET besmet

Hoe weet je dat zo zeker dan?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 2 oktober 2008 15:31

Acties:

pennenlikker

idd, de vangpagina van x4all heb ik ook een aantal keren gehad thuis

Altijd dankzij virussen kan op je client of zelfs server zijn.

KLIK

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

donderdag 2 oktober 2008 15:44

Acties:

pistole

Frutter

Multispeed schreef op donderdag 02 oktober 2008 @ 15:16:
Outbound Queue kan ik legen tot ik een ons weeg

Wat staat erin dan? Wat staat er in je SMTP logfile (die je natuurlijk hebt)?

Ik frut, dus ik epibreer

donderdag 2 oktober 2008 16:20

Acties:

Brahiewahiewa

boelkloedig

Multispeed schreef op donderdag 02 oktober 2008 @ 14:33:
...Maar als ik in mij queue kijk lijkt het alsof hij het wel aanpakt maar niet verstuurt...

Inderdaad: hij pakt 't aan en probeert 't terug te sturen naar de afzender. Dus hij relayed niet en toch loopt je queue vol, want die afzenders bestaan voor het merendeel niet.

Maar als je alles zeker wilt weten, moet je de logging van je SMTP stack aanzetten

QnJhaGlld2FoaWV3YQ==

donderdag 2 oktober 2008 18:16

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Omdat ik 1 pc aan heb die zeker niet besmet is....

Ik heb trouwens net reactie van XS4ALL gehad abuse afdeling die hebben de server gescanned en volgens hun relay ik 100% zeker niet meer.

Dan blijft voor mij dan toch de vraag waarom hij het wel aan neemt....

Ik weet niet of het topic mag blijven bestaan met deze vraag ? (van de MODS dan)

sanfranjake schreef op donderdag 02 oktober 2008 @ 15:26:
[...]

Hoe weet je dat zo zeker dan?

En toevallig vind ik dus van niet! :-)

donderdag 2 oktober 2008 19:23

Acties:

sanfranjake

Computers can do that?

Multispeed schreef op donderdag 02 oktober 2008 @ 18:16:
Omdat ik 1 pc aan heb die zeker niet besmet is....

Ik vraag je om onderbouwing waarom. Ik kan ook wel beweren dat ik geen virussen heb met m'n virusscannertje uit 2003 wat al 5 jaar niet geupdate is, en ook nog eens disabled

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 2 oktober 2008 20:37

Acties:

pistole

Frutter

Brahiewahiewa schreef op donderdag 02 oktober 2008 @ 16:20:
[...]
Inderdaad: hij pakt 't aan en probeert 't terug te sturen naar de afzender. Dus hij relayed niet en toch loopt je queue vol, want die afzenders bestaan voor het merendeel niet.

Dat lijkt me een zeer onwenselijke configuratie*; je mailserver dient gewoon een relaying denied melding te geven, ander werk je o.a. NDR spam in de hand.

edit:
*tenzij het ongeldige adressen naar een inbound domein zijn

Multispeed schreef op donderdag 02 oktober 2008 @ 18:16:
Dan blijft voor mij dan toch de vraag waarom hij het wel aan neemt....

Zet eerst eens je SMTP logging aan, en doe een enumerate van je queue zodat je weet wat er in staat....

*tip 1: system manager -> bla -> server -> protocols -> smtp -> properties van je smtp server -> logging aanzetten. Default komt het in de \windows\system32\logfiles\smtpsvc1 folder.
*tip 2: doppelklik op je queue, daarna rechtsklikken en "enumerate xxx messages" om de inhoud te zien.

[ Voor 3% gewijzigd door pistole op 02-10-2008 20:47 ]

Ik frut, dus ik epibreer

vrijdag 3 oktober 2008 09:01

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

haha

Er staat een goed virusscanner op geupdate en als je de pc scanned zie je geen infecties. ook als ik programma's als hitmanpro of super antispyware draai zie ik alleen wat cookies maar niks noemens waardig

sanfranjake schreef op donderdag 02 oktober 2008 @ 19:23:
[...]

Ik vraag je om onderbouwing waarom. Ik kan ook wel beweren dat ik geen virussen heb met m'n virusscannertje uit 2003 wat al 5 jaar niet geupdate is, en ook nog eens disabled

En toevallig vind ik dus van niet! :-)

vrijdag 3 oktober 2008 09:02

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Lijkt mij dus ook beetje raar waarom hij iets aanneemt wat niet voor hem is

Ik zal de logging eens aanzetten

pistole schreef op donderdag 02 oktober 2008 @ 20:37:
[...]

Dat lijkt me een zeer onwenselijke configuratie*; je mailserver dient gewoon een relaying denied melding te geven, ander werk je o.a. NDR spam in de hand.

edit:
*tenzij het ongeldige adressen naar een inbound domein zijn

[...]

Zet eerst eens je SMTP logging aan, en doe een enumerate van je queue zodat je weet wat er in staat....

*tip 1: system manager -> bla -> server -> protocols -> smtp -> properties van je smtp server -> logging aanzetten. Default komt het in de \windows\system32\logfiles\smtpsvc1 folder.
*tip 2: doppelklik op je queue, daarna rechtsklikken en "enumerate xxx messages" om de inhoud te zien.

*tip 2: doppelklik op je queue, daarna rechtsklikken en "enumerate xxx messages" om de inhoud te zien.

deze kan ik niet vinden

[ Voor 8% gewijzigd door Multispeed op 03-10-2008 09:53 ]

En toevallig vind ik dus van niet! :-)

vrijdag 3 oktober 2008 15:05

Acties:

pistole

Frutter

Multispeed schreef op vrijdag 03 oktober 2008 @ 09:02:
deze kan ik niet vinden

Sorry, ik bedoel doppelklikken en dan "Find Now" (in Find Messages scherm)

Ik frut, dus ik epibreer

vrijdag 10 oktober 2008 09:17

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

is allemaal spam wat ik daar zie

En toevallig vind ik dus van niet! :-)

zaterdag 11 oktober 2008 17:00

Acties:

pistole

Frutter

en wat zeggen je logfiles? Heb ik ook pas 2x gevraagd

Ik frut, dus ik epibreer

zaterdag 11 oktober 2008 18:26

Acties:

Giga_Bjorn

Check eens deze link http://www.msexchange.org/tutorials/MF005.html
Heb wel eens een Exchange server gezien die toch open-relay was omdat hij geen SMTP connector had.
Met de volgende link kun je testen of je server een open relay is http://www.abuse.net/relay.html

Indien mogelijk laat alleen in/outbound SMTP toe van af je mail server als dit mogelijk is met je firewall/router.

Ik zit niet links, ik zit niet rechts, ik zit recht achter voor mijn pc.

zondag 12 oktober 2008 01:39

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

wat wil je zien uit de logs ?

pistole schreef op zaterdag 11 oktober 2008 @ 17:00:
en wat zeggen je logfiles? Heb ik ook pas 2x gevraagd

En toevallig vind ik dus van niet! :-)

zondag 12 oktober 2008 01:40

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Klopt

Probleem met deze scans is dat exchange er vaak NIET doorheen komt omdat exhange de spam wel aanpakt en het intern pas weigerd. dat zien de detectors niet. helaas

Giga_Bjorn schreef op zaterdag 11 oktober 2008 @ 18:26:
Check eens deze link http://www.msexchange.org/tutorials/MF005.html
Heb wel eens een Exchange server gezien die toch open-relay was omdat hij geen SMTP connector had.
Met de volgende link kun je testen of je server een open relay is http://www.abuse.net/relay.html

Indien mogelijk laat alleen in/outbound SMTP toe van af je mail server als dit mogelijk is met je firewall/router.

En toevallig vind ik dus van niet! :-)

zondag 12 oktober 2008 10:54

Acties:

pistole

Frutter

Multispeed schreef op zondag 12 oktober 2008 @ 01:40:
Probleem met deze scans is dat exchange er vaak NIET doorheen komt omdat exhange de spam wel aanpakt en het intern pas weigerd. dat zien de detectors niet. helaas

Sorry, maar dat is klinklare onzin:

# telnet mail.domein.nl 25     
Trying w.x.y.z ...
Connected to mail.domein.nl.
Escape character is '^]'.
220 mail.domein.nl Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713 ready at  Sun, 12 Oct 2008 10:55:32 +0200 
helo hoi
250 mail.domein.nl Hello [a.b.c.d]
mail from: ikke@geldigdomein.nl
250 2.1.0 ikke@geldigdomein.nl....Sender OK
rcpt to: iemand@niet-inbound.nl
550 5.7.1 Unable to relay for iemand@niet-inbound.nl

Als je géén 550 krijgt terwijl je van extern naar een niet-inbound domein stuurt dan relay je per definitie.

Multispeed schreef op zondag 12 oktober 2008 @ 01:39:
wat wil je zien uit de logs ?
[...]

Wie/welke host de mail aflevert bij je mailserver?

[ Voor 34% gewijzigd door pistole op 12-10-2008 11:00 ]

Ik frut, dus ik epibreer

zondag 12 oktober 2008 11:07

Acties:

Fish

How much is the fish

ziet er toch niet slecht uit

220 a82-92-10-78.adsl.xs4all.nl Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Sun,
12 Oct 2008 10:55:24 +0200
helo
250 a82-92-10-78.adsl.xs4all.nl Hello [82.93.175.39]
mail from:sinterklaas@microsoft.com
250 2.1.0 sinterklaas@microsoft.com....Sender OK
rcpt to:relaytest@fishbowl.xs4all.nl
550 5.7.1 Unable to relay for relaytest@fishbowl.xs4all.nl

220 a82-92-10-78.adsl.xs4all.nl Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Sun,
12 Oct 2008 10:55:24 +0200
helo
250 a82-92-10-78.adsl.xs4all.nl Hello [82.93.175.39]
mail from:testjevangotmmember@lol.com
501 5.5.4 Invalid Address
a
500 5.3.3 Unrecognized command
mail from:test@test.com
501 5.5.4 Invalid Address
mailf
500 5.3.3 Unrecognized command
mail from:sinterklaas@microsoft.com
250 2.1.0 sinterklaas@microsoft.com....Sender OK
rcpt to:tralalalaalalallaallalaalal@
501 5.5.4 Invalid Address
rcpt to:relaytest@fois
501 5.5.4 Invalid Address
rcpt to:relaytest@fishbowl.xs4all.nl
550 5.7.1 Unable to relay for relaytest@fishbowl.xs4all.nl

[ Voor 45% gewijzigd door Fish op 12-10-2008 11:09 ]

Iperf

zondag 12 oktober 2008 21:17

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Er zijn verschillende pagina's die het beweren.! Plus ik zit met een queue waar mail in blijft komen maar hij stuurt het niet door lijkt mij dat hij het wel aanpakt en niet verstuurd..

Mail komt van verschillende hosts.

Dat is dus het gekke ik ben het helemaal met je eens hoor maar toch vind ik het gek dat hij wel me queue volstopt

. Nu op dit moment is het even rustig maar dat kan morgen zo weer anders zijn.

ALs we hier niet uitkomen mag het topic wel dicht want XS4ALL vind dat ik niet relay dus ben ik tevreden.

pistole schreef op zondag 12 oktober 2008 @ 10:54:
[...]

Sorry, maar dat is klinklare onzin:
# telnet mail.domein.nl 25     
Trying w.x.y.z ...
Connected to mail.domein.nl.
Escape character is '^]'.
220 mail.domein.nl Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713 ready at  Sun, 12 Oct 2008 10:55:32 +0200 
helo hoi
250 mail.domein.nl Hello [a.b.c.d]
mail from: ikke@geldigdomein.nl
250 2.1.0 ikke@geldigdomein.nl....Sender OK
rcpt to: iemand@niet-inbound.nl
550 5.7.1 Unable to relay for iemand@niet-inbound.nl
Als je géén 550 krijgt terwijl je van extern naar een niet-inbound domein stuurt dan relay je per definitie.

[...]

Wie/welke host de mail aflevert bij je mailserver?

[ Voor 13% gewijzigd door Multispeed op 12-10-2008 21:21 ]

En toevallig vind ik dus van niet! :-)

maandag 13 oktober 2008 01:37

Acties:

Turdie

Het klopt dat geen open-relay hebt.

Maar wat ik uit dit topic begrijp is dat je exchange queues zich blijven vullen met spam/ndr's.

Misschien is 't dan wel handig om dit artikel eens te volgen.Voortal Step 3 is handig om queues schoon te krijgen

maandag 13 oktober 2008 07:22

Acties:

pistole

Frutter

Multispeed schreef op zondag 12 oktober 2008 @ 21:17:
Mail komt van verschillende hosts.
[...]

Is het geen NDR spam? Als in: een spammer stuurt naar "nietbestaand@jouwdomein.com", zodat er een NDR naar een fictieve afzender gaat?

Tip: installeer eens iets als Wireshark om inhoudelijk SMTP verkeer te capturen, of kijk eens in de queue folder van je SMTP services, en open een aantal files in Notepad om te zien wat erin staat.

Ik frut, dus ik epibreer

Pagina: 1

Reageer