Exchange server 2003 SP2 spam attack

Mijn mailserver Exchange 2003 SP2 onder SBS2003 ligt al een aantal dagen onder vuur en ik krijg het niet gestopt!

Nu is het zo erg dat er 165.000 mailtjes in de queue staan en de SMTP server op hol slaat.
Ik heb al verschillende artikels gelezen over NDR attacks (In Exchange Server 2003 or in Exchange 2000 Server, the Exchange Server queues are filled with many non-delivery reports from the postmaster account because of a reverse non-delivery report attack).

Maar als het echt een NDR attack is dient de queue vol te staan met berichten van postmaster.
Maar er staan ook heel veel mailtjes in de queue naar van andere naar andere, zoals:

Van: "MR FRANK"<frankwuddah95@yahoo.com>

Naar: Envelope Recipients:
SMTP:barkkelly@rogers.com; SMTP:barkley3841@rogers.com; SMTP:baron.walden@hq.doe.gov; SMTP:barganier@peoplepc.com; SMTP:barilelandscape@charter.net; SMTP:barlinderand@alltel.net; SMTP:barnes_2003@sbcglobal.net; SMTP:barneygodfrey@sbcglobal.net; SMTP:baroo007@sbcglobal.net; SMTP:barker4939@rr.com; SMTP:barneskeshia@ymail.com; SMTP:bargainland_us@yahoo.com; SMTP:barj22@yahoo.com; SMTP:barkeeps77@yahoo.com; SMTP:barkerkelslie@yahoo.com; SMTP:barlou1@yahoo.com; SMTP:barnardwilliams@yahoo.com; SMTP:barnese51@yahoo.com; SMTP:barnesmickey28@yahoo.com; SMTP:barnessarah25@yahoo.com; SMTP:barnetk1@yahoo.com; SMTP:barnettm27@yahoo.com; SMTP:barneyflats99@yahoo.com; SMTP:barnums1000@yahoo.com; SMTP:baronicat@yahoo.com; SMTP:barrelracer4ever_03@yahoo.com; SMTP:barreraval@yahoo.com; SMTP:barrett.debbie@yahoo.com; SMTP:barrett_keisha@yahoo.com; SMTP:barrettr@brentwood-tn.org; SMTP:barnybtb@surfbest.net; SMTP:barfly101@aol.com; SMTP:barhan13@aol.com; SMTP:bariclaire@aol.com; SMTP:barkertxsranger@aol.com; SMTP:barmanuel@aol.com; SMTP:barnmolinari@aol.com; SMTP:barnzone@aol.com; SMTP:barrera174@aol.com; SMTP:barnes_t@kitchensolvers.com; SMTP:barreraanai@univision.com; SMTP:barney@dinosaur.com; SMTP:barrette@fvtc.edu; SMTP:barrettf@worldnet.att.net; SMTP:barretts4@earthlink.net; SMTP:baron.1@live.com; SMTP:baroninternational@microsodsi.net; SMTP:barneskasaundre@hotmail.com; SMTP:barouchmo@hotmail.com; SMTP:barney@luckeytrucking.com;

Maar ik heb gecheckt of mijn server Open Relay heeft, maar dit is niet het geval.

iemand enig idee hoe dit te stoppen!?

Verwijderd schreef op dinsdag 23 februari 2010 @ 09:53:
Ik heb dit twee weken geleden gehad bij een klant en heb het probleem gevonden in een te simpel wachtwoord op een mail account. Ik heb logging aangezet op het SMTP protocol en in de eventvwr gekeken welk account ze gebruikte om spam te versturen. Uur later was het opgelost.

Ga ik direct doen!
Maar de wachtwoorden die gebruikt worden zijn niet heel erg eenvoudig, maar ik ga dit direct aanpassen in de policy wat betreft wachtwoord eisen.

super.. bedankt!

Ik laat wel even weten of dat inderdaad het euvel is.

Verwijderd schreef op dinsdag 23 februari 2010 @ 10:10:
Hij had overigens ook geen open mail-relay want dat is het eerste wat ik getest heb. Het account wat misbruikt werd was mail@klantnaam.nl.

Logging = Server Props -> Diagnostics Logging -> MSExchangeTransport -> SMTP Protocol

Je zou overigens ook als quickfix bij de SMTP Connector -> Relay Restrictions -> "Allow all computers which successfully authenticate to relay, regardless of the list above." uitvinken. Volgens mij loste dit het probleem ook op.

Oke,, ik heb de log nu aangezet, deze komen hier te staan: C:\WINDOWS\System32\LogFiles\SMTPSVC1
Heb ook bij Advanced even alle opties aangevinkt om zo uitgebreid mogelijk te spitten.

Ondertussen verschijnen er onderstaande regels:
2010-02-23 09:18:12 41.217.65.3 User SMTPSVC1 SERVER1 192.168.75.100 0 RCPT - +TO:<ann_solano@yahoo.com> 250 0 33 30 0 SMTP - - - -


PS:
Deze logging: Logging = Server Props -> Diagnostics Logging -> MSExchangeTransport -> SMTP Protocol
Die heb ik nu op maximum gezet, maar waar komen deze logs te staan?

[ Voor 8% gewijzigd door DaVaRiOuS op 23-02-2010 10:24 ]

Powershell schreef op dinsdag 23 februari 2010 @ 10:24:
relay configuratie nalopen. default staat een 2003 machine niet te relayen tenzij je iets verkeerd hebt geconfigged

loop dit artikel maar even na: How to troubleshoot mail relay issues in Exchange Server 2003 and in Exchange 2000 Server

Relay staat goed, alleen voor intern netwerk.

MADG0BLIN schreef op dinsdag 23 februari 2010 @ 10:11:
Zorg in ieder geval dat je de uitgaande mail even blokkeert. Ik weet niet of je al op een blacklist staat, maar als deze er uit gaan denk ik wel.

Misschien beetje stomme vraag, maar hoe kan ik deze veen tijdelijk blokkeren?

Ik heb het onderschept en er was 'ingebroken' onder een test account

Nu heb ik bij deze het wachtwoord aangepast en voor de zekerheid de server herstart.
Maar nu krijg ik natuurlijk heel veel failer logins en in de SMTP logs staat nu ook constant een HELO commando voor die gebruiker, maar die komt er niet meer in.
Dat stopt vanzelf???

In ieder geval super bedankt voor alle tips!

Powershell schreef op dinsdag 23 februari 2010 @ 10:31:
[...]


als jij zegt die 'iet goed' staat vindt ik het dikke prima!

_{al i know is dat dit gedrag dus niet normaal is en dat dit zeker niet 'goed' is. open relay check via internet zegt ook niet alles btw... (die checked niet alles)}

Ik heb open relay gechecked via cmd-prompt door een relay na te bootsen.
Dit ging niet werken.

Ook de instellingen nagelopen met de URL die je gaf en dit staat allemaal standaard zoals het hoort.
Dus precies zoals op de site staat vermeld.

MADG0BLIN schreef op dinsdag 23 februari 2010 @ 10:40:
Houdt vanzelf op als ze merken dat het niet meer werkt. Vergeet niet de que leeg te gooien zodat de spam die er nu staat er niet meer uitgaat.
Mooi dat je er achter bent.

Ja daar ben ik nu druk mee bezig!

Allen bedankt! helemaal super!