Message Tracking Center - Exchange server verstuurt SPAM

Ik zit hier met een erg vreemd probleem en ben benieuwd of jullie mij kunnen en willen helpen.
Ik heb een omgeving met een Microsoft SBS 2003 omgeving, Windows 2003 SQL Server en een Windows 2003 Terminal Server. Daarnaast draaien er nog een aantal werkstations.

Deze werkstations gaan rond 18.00 uit.
De 3 servers blijven operationeel.

1 Gebruiker krijgt om de zoveel minuten een NDR met daarin meldingen dat een e-mail adres niet bestaat. Aan de onderwerpen te zien zijn dit berichten die door een virus of iets dergelijks worden verstuurd. Aangezien de klant niks te doen heeft met een penis vergroting

Alle 3 servers gescant met een up-to-date uitgepakte SDAT file van McAfee en met de Kaspersky Online scanner.

McAfee en Kaspersky hebben een .PST file aangekaart en waarschijnelijk zal daar dus een virus in 1 van de mail berichten zitten. Daarnaast stonden er nog 1 of 2 verdachte bestanden op een NAS schijf. Na dit opgeschoont te hebben en vervolgens het één en ander door te hebben gelopen en een HIJackThis log doorgenomen ziet het er allemaal goed uit, maar toch zie ik in de Message Tracking Center tussen de enkele minuten tot 15 min tot een uur af en toe een bericht verschijnen.

Voorheen zat de DNS log vol met meldingen, maar dit is afgelopen, maar toch is er iets wat een virus stuurt.

Iemand enig idee hoe ik nog een stap verder kan kijken waar dat mailtje vandaan komt?

PS. Alle 3 servers hebben / hadden Symantec Corporate erop staan, maar als alles weer draait zoals het hoort zal ik is kijken wat daarmee is gebeurd

alt-92 schreef op vrijdag 25 september 2009 @ 08:24:
[...]

En dat zijn de NDRs die je krijgt?
Ik zou een uitgaande firewall + logging rule met destination port 25 inzetten.
(sowieso geen verkeerd idee, de enige doos die mail hoeft te versturen is je exchange doos).
als je daarin verkeer ziet een sniffert een capture laten maken en vervolgens met de resultaten daarvan aan de slag gaan om het IP (en dus de machine) te achterhalen.

Maar alle mailtjes gaan toch via Exchange? Anders zou ik ze niet in de Message Tracking Center zien toch?

Ik kan alleen in deze MTC niet zien of het inkomend is of uitgaand. Of ik interpreteer de gegevens verkeerd. In SBS 2008 krijg je een mooi Excel rapport waar dus wel het onderscheidt in staat.

Deadeye878 schreef op vrijdag 25 september 2009 @ 08:24:
Ook een optie is NDR spam (Backscatter)

[...]


In dat geval is er dus geen virus aan jouw kant, maar ergens ter wereld een mailserver die netjes een NDR naar jouw gebruiker stuurt.

Ik moet dit dan toch wel ergens kunnen detecteren in een uitgebreidere log?

Ik heb in ieder geval 1 van de servers uitgesloten. Gisteravond de Terminal Server nagelopen en zag dat er wat mis was met de Winsock en wat andere kleine dingetjes. Op dat moment LSPFix gedraait op advies van verschillende fora's. Toen lag dus mun server dus op zijn gat. Ik kon er remote niet meer bij en blijkbaar is daar wat fout gegaan.

Aantal verschillende meldingen als RPC server niet beschikbaar of niet in kunnen loggen op de terminal server. Toen de server uit het domein gehaalt en opnieuw willen aanmelden. Wederom lukte dit ook niet. Dit leek op een DNS storing, maar alles klopte perfect. Winsock maar handmatig verwijderd en hersteld en toen lukte alles weer.

Van vannacht tot vanochtend kon ik de server niet bereiken. Dus ALS deze het probleem was, dan zou ik in de message tracking center geen mails moeten zien. Helaas dus wel.

[ Voor 26% gewijzigd door Verwijderd op 25-09-2009 12:44 ]