Toon posts:

Exchange Open Relay

Pagina: 1
Acties:

Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Op mijn werkplek hebben we een Exchange 2003 server met een Xs4all verbinding. Nou is het probleem dat Xs4all ons geblokkeerd heeft omdat onze Exchange server spam verstuurt. De spam wordt verstuurd door random IP adressen welke relayen op onze server. Als ik een test doe op www.mxtoolbox.com komt eruit dat onze server niet open relay ondersteund, maar als ik de test op www.test-smtp.com dan komt bij test 18 wel naar voren dat onze server open relay ondersteund. Beetje raar dus.

Nou heb ik al het volgende gedaan om dit tegen te gaan, maar blijkbaar mis ik iets want het spammen blijft gewoon doorgaan:

- Alle Windows Updates geinstalleerd (inclusief Service Pack 2 voor Exchange 2003)
- Relayen uitgeschakeld voor alle IP adressen, op uitzondering na van de server.
- Poort 25 geblokkeerd voor alle werkstations op de server na.
- Alle wachtwoorden veranderd op de servers en werkstations.
- Alle werkstations en servers gescand met NOD32, Malware Bytes en Security Essentials. Hier waren geen infecties te vinden.

Nou kan ik wel poort 25 blokkeren, maar dan krijgen we zelf geen e-mail meer binnen, want de e-mail wordt rechtstreeks op onze server afgeleverd.

Mis ik toch nog ergens iets waardoor open relay mogelijk is van buitenaf? Ik heb met een packet sniffer al het netwerk verkeer op de server gescand, en kan terug zien dat random externe IP adressen inloggen op poort 25 en dan spam e-mails versturen.

Ik hoop dat iemand me nog suggesties kan geven, waardoor open relay niet meer mogelijk is door externe computers.

Acties:
  • 0Henk 'm!

Anoniem: 130547

Is het normaal niet de bedoeling om enkel uitgaande mail toe te laten voor gebruikers vanaf je eigen domein?
Dus dat enkel bestaande gebruikers van je eigen domein mail kunnen versturen via je mailserver?

Acties:
  • 0Henk 'm!

  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 23:35

Jaap-Jan

Geen IPv6- ready check meer :(

Makkelijkste oplossing: stuur alleen mail door van geauthenticeerde gebruikers en accepteer alleen email bestemd voor dat domein. Al het overige drop je.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Jaap-Jan schreef op vrijdag 01 juli 2011 @ 13:47:
Makkelijkste oplossing: stuur alleen mail door van geauthenticeerde gebruikers en accepteer alleen email bestemd voor dat domein. Al het overige drop je.
Ik heb nu ingesteld staan dat alleen de server e-mail naar buiten mag sturen, en alleen verified users mogen gebruik maken van de SMTP server in het domein. En het leukste is dat ze onze domeinnaam gebruiken voor de spam, dus andere domeinnamen blokkeren zal niets uithalen.

Acties:
  • 0Henk 'm!

  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 23:35

Jaap-Jan

Geen IPv6- ready check meer :(

l00pz schreef op vrijdag 01 juli 2011 @ 13:58:
[...]


Ik heb nu ingesteld staan dat alleen de server e-mail naar buiten mag sturen, en alleen verified users mogen gebruik maken van de SMTP server in het domein. En het leukste is dat ze onze domeinnaam gebruiken voor de spam, dus andere domeinnamen blokkeren zal niets uithalen.
Hoe kunnen ze dan mail door de mailserver krijgen? Ze zijn toch niet geauthenticeerd?

Hoe moet ik dit emailadres lezen?

>>> RSET
<<< 250 2.0.0 Ok
>>> MAIL FROM: <test@[123.456.789.1]>
<<< 250 2.1.0 Ok
>>> RCPT TO: <"test%spam.com">
<<< 554 5.7.1 <test%spam.com>: Relay access denied


Lijkt mij dat dit test%spam.com@localhost is, toch?

[Voor 3% gewijzigd door Jaap-Jan op 01-07-2011 14:02]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett


Acties:
  • 0Henk 'm!

  • kKaltUu
  • Registratie: April 2008
  • Laatst online: 01-06 16:11

kKaltUu

Profesionele Forumtroll

Wij hebben ook een server die we beheren met een XS4ALL lijn die niet via onze eigen server mail ophaalt. Om mail toch netjes op hun server te deponeren hebben wij bij een provider een SpamExperts pakket gepakt, hier de IP's van gewhitelist in de firewall, en voor de rest poort 25 op slot gezet. So far geen relayproblemen :)

Bovenstaande is mijn post. Lees deze aandachtig, dank u wel voor uw medewerking.


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Jaap-Jan schreef op vrijdag 01 juli 2011 @ 14:02:
[...]
Hoe kunnen ze dan mail door de mailserver krijgen? Ze zijn toch niet geauthenticeerd?

Hoe moet ik dit emailadres lezen?

>>> RSET
<<< 250 2.0.0 Ok
>>> MAIL FROM: <test@[123.456.789.1]>
<<< 250 2.1.0 Ok
>>> RCPT TO: <"test%spam.com">
<<< 554 5.7.1 <test%spam.com>: Relay access denied


Lijkt mij dat dit test%spam.com@localhost is, toch?
Ja dat lijkt mij ook inderdaad, dus daarom hoopte ik dat ik misschien iets over het hoofd heb gezien qua relayen toestaan.
Het versturen van de test spam via www.test-smtp.com gaat goed wanneer er "randomiets"@domeinnaam.nl wordt gebruikt. Dus het heeft iets te maken met die " " volgens mij.

Acties:
  • 0Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

Als er mail verzonden wordt via jouw server dan zou je die moeten kunnen zien in het Mesage Tracking Center. Zie je daar dat er daadwerklijk mail verzonden wordt? Of verstuurt jouw server misschien NDR's omdat er mail afgeleverd wordt op niet bestaande adressen?

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0Henk 'm!

  • Slurpgeit
  • Registratie: November 2003
  • Laatst online: 08:30
Welke firewall is er in gebruik? Misschien even een logje draaien van al het poort 25 verkeer?

..dit lijkt trouwens verdacht veel op een case die ik voor werk met iemand besproken heb, heb je toevallig met NOD32 gebeld? :D

Acties:
  • 0Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

Kun je eens een screenshot geven van die test die slaagt?

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Als Firewall wordt een Untangle Web Filter gebruikt.
En ik kan inderdaad in de Message Tracking Center zien dat er e-mail verstuurd wordt.

Screenshots kan ik op dit moment even niet posten, ben op dit moment onderweg. Ben het topic aan het volgen op m'n telefoon :P Moet wel lukken achter een uurtje of 2..

Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Hmmm ik geen screenshot maken.. Xs4all heeft ons nu echt dichtgegooid op poort 25 :X

Wordt dus bellen met Xs4all ben ik bang voor :'(

Acties:
  • 0Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

Succes, die afdeling kun je alleen mailen.

Het is een discussie op zich, maar wegens deze manier van handelen van XS4all heb ik al eens een klant naar een andere provider geholpen.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0Henk 'm!

  • Grvy
  • Registratie: Juni 2008
  • Laatst online: 00:46

Grvy

Bot

Jazzy schreef op vrijdag 01 juli 2011 @ 16:41:
Succes, die afdeling kun je alleen mailen.

Het is een discussie op zich, maar wegens deze manier van handelen van XS4all heb ik al eens een klant naar een andere provider geholpen.
:'(

Dit is een account.


Acties:
  • 0Henk 'm!

  • DutchKel
  • Registratie: Mei 2002
  • Laatst online: 07:11
Jazzy schreef op vrijdag 01 juli 2011 @ 16:41:
Succes, die afdeling kun je alleen mailen.

Het is een discussie op zich, maar wegens deze manier van handelen van XS4all heb ik al eens een klant naar een andere provider geholpen.
Toch vind ik het een hele nette oplossing, ik heb liever dat xs4all 1 persoon/bedrijf afsluit die zijn zaakjes niet op orde heeft dan dat de hele provider wordt geblokkeerd door allerlei spamlists. Daarbij als je zelf zo van de spamlists af kunt blijven dan is dat ook mooi meegenomen want daar kom je niet zomaar meer vanaf.

Don't drive faster than your guardian angel can fly.


Acties:
  • 0Henk 'm!

  • jjbstolk
  • Registratie: September 2001
  • Laatst online: 23:37
kfaessen schreef op vrijdag 01 juli 2011 @ 16:46:
[...]

Toch vind ik het een hele nette oplossing, ik heb liever dat xs4all 1 persoon/bedrijf afsluit die zijn zaakjes niet op orde heeft dan dat de hele provider wordt geblokkeerd door allerlei spamlists. Daarbij als je zelf zo van de spamlists af kunt blijven dan is dat ook mooi meegenomen want daar kom je niet zomaar meer vanaf.
Dat er wordt afgesloten is een duidelijk prima actie maar dat je dan vervolgens de afdeling die dat gedaan heeft alleen via de mail kan benaderen en niet kan bellen is gewoon waardeloos.

Soms moet je wel 24 u wachten op een mail reactie van xs4all en dan nog is het soms weer een vraag ipv een oplossing of antwoord.

Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
jjbstolk schreef op vrijdag 01 juli 2011 @ 16:59:
[...]


Dat er wordt afgesloten is een duidelijk prima actie maar dat je dan vervolgens de afdeling die dat gedaan heeft alleen via de mail kan benaderen en niet kan bellen is gewoon waardeloos.

Soms moet je wel 24 u wachten op een mail reactie van xs4all en dan nog is het soms weer een vraag ipv een oplossing of antwoord.
Ik ben het er inderdaad mee eens dat ze mensen blokkeren, maar zoals jjbstolk al zei moeten ze wel telefonisch bereikbaar zijn. Ik zal nu dus waarschijnlijk tot maandagmiddag / dinsdag moeten wachten voordat ik uberhaupt weer iets kan.

Maar iemand enig idee hoe ik het verder kan aanpakken? Dit zijn trouwens mijn instelling op de SMTP server:



Mis ik nog iets?

[Voor 6% gewijzigd door l00pz op 01-07-2011 17:32]


Acties:
  • 0Henk 'm!

  • jjbstolk
  • Registratie: September 2001
  • Laatst online: 23:37
Vergelijk jou instellingen eens met deze handleiding. Dan ben je er denk ik wel:
http://www.petri.co.il/pr...00_2003_from_relaying.htm

Vergeet ook niet om poort 25 uitgaande voor iedereen af te sluiten behalve voor de server!

Acties:
  • 0Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

Waarom die twee IP-adressen?

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
jjbstolk schreef op vrijdag 01 juli 2011 @ 17:48:
Vergelijk jou instellingen eens met deze handleiding. Dan ben je er denk ik wel:
http://www.petri.co.il/pr...00_2003_from_relaying.htm

Vergeet ook niet om poort 25 uitgaande voor iedereen af te sluiten behalve voor de server!
Deze guide heb ik inderdaad gevolgd, en alle instelling zo ingesteld zoals ze op die website vermeldt worden. Maar ik moet Anonymous Acces wel aanzetten, anders is mijn provider niet in staat om de e-mail af te leveren op de Server (dit staat uitgelegd in Conclusion).

Maar wat ik niet helemaal snap, als je zoals mijn situatie wel Anonymous Acces moet aanzetten om de e-mail afgeleverd te krijgen. Heeft dan niet iedere Exchange server last van dit probleem als ze je IP adres en domeinnaam achterhaald hebben?

Wat betreft de 2 IP adressen, deze staan er standaard in. En aangezien 127.0.0.1 de local loopback is lijkt het me sterk dat deze verwijderd moet worden uit de lijst.

Acties:
  • 0Henk 'm!

  • Vizor
  • Registratie: Mei 2008
  • Laatst online: 09-06 14:59
Zoals een paar posts voor mij ook al gezegd is: Kijk eens naar zoiets als spam-experts. Niet ontvang je dan geen spam meer maar je stelt in je exchange in dat hij alleen nog maar mail mag ontvangen van de adressen van spam-experts (staan vast op de website van hun). Probleem opgelost. Denk niet dat er een makkelijkere oplossing is eigenlijk.

Acties:
  • 0Henk 'm!

  • _Hades_
  • Registratie: Juli 2000
  • Laatst online: 09:13
Zet ook even recipient filtering aan (onder global ergens geloof ik). Dat wil ook nog wel eens helpen tegen open relay. Daarnaast is het misschien handig om authenticated relay ook uit te zetten naar buiten. Ik kwam laatst in een situatie waar ongeveer hetzelfde gebeurde. Bleek dat een aantal gebruikers nogal makkelijk te raden wachtwoorden hadden waardoor de spammers vrolijk hun gang konden gaan...

Acties:
  • 0Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

l00pz schreef op vrijdag 01 juli 2011 @ 19:23:

Wat betreft de 2 IP adressen, deze staan er standaard in. En aangezien 127.0.0.1 de local loopback is lijkt het me sterk dat deze verwijderd moet worden uit de lijst.
Ik weet niet of deze er standaard in staan, en zou ook niet weten waarom ze er in moeten staan. Exchange zal nooit mail aan zichzelf afleveren en als hij dat doet dan doet hij dit niet met dat IP-adres. Ik zou ze gewoon weghalen, daar gaat echt niet stuk van. Het is dan ook heel gebruikelijk dat deze lijst leeg is.

Exchange en Office 365 specialist. Mijn blog.


  • Paul
  • Registratie: September 2000
  • Laatst online: 23:20
Die staan er wel standaard in :) En 127.0.0.1 is (meen ik) met name voor andere software die mogelijk op die server staat en die ook een mailserver nodig heeft. Denk aan websites, de software van de netwerkscanner, boekhoudpakket, whatever :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • ro3lie
  • Registratie: April 2009
  • Laatst online: 05-06 23:55
Zelfde probleem gehad hier met Exchange 2010, op de blacklist ivm spam. Exchange liep vast bij de 20000 messages in de queue daarna.

Heb alles dicht gegooid en alleen ons server vlan + printer vlan + wat losse ipadressen er in gehangen die mogen emailen.

Tbv scannen naar email en het verzenden van meldingen vanuit applicaties naar exchange.

Sinds dien nooit meer problemen gehad, echte heb ik daar nooit iets geks gezien dat het niet wordt ondersteund. Klinkt ook heel raar...

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

Paul schreef op zaterdag 02 juli 2011 @ 00:37:
Die staan er wel standaard in :) En 127.0.0.1 is (meen ik) met name voor andere software die mogelijk op die server staat en die ook een mailserver nodig heeft. Denk aan websites, de software van de netwerkscanner, boekhoudpakket, whatever :)
Je hebt gelijk. Ik had niet gedacht aan andere software die op de zelfde server geïnstalleerd staat.

Exchange en Office 365 specialist. Mijn blog.


  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Ik zal inderdaad dan eens gaan kijken naar Spamexpert. Dat is wat makkelijker te filteren :P

Maar toch blijf ik met een vraag zitten, heeft iedere Exchange server hier dan last van als de e-mail rechtstreeks wordt afgeleverd op je server?

Is dit btw de goede link naar Spamexperts?

[Voor 14% gewijzigd door l00pz op 02-07-2011 19:24]


  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

Nee, dat is niet normaal. Maar wat ik al vroeg, kun je een screenshot geven van de test die slaagt (terwijl hij hoort te mislukken)? En als je met Protocol logging kijkt, hoe ziet het ontvangen van zo'n spambericht er precies uit? Ik zou toch wel graag precies willen weten wat er gebeurt.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Jazzy schreef op zaterdag 02 juli 2011 @ 22:47:
Nee, dat is niet normaal. Maar wat ik al vroeg, kun je een screenshot geven van de test die slaagt (terwijl hij hoort te mislukken)? En als je met Protocol logging kijkt, hoe ziet het ontvangen van zo'n spambericht er precies uit? Ik zou toch wel graag precies willen weten wat er gebeurt.
Ik zou je graag een screenshot willen geven, maar ik moet eerst op Xs4all wachten totdat ze poort 25 weer op zetten. Op dit moment kan ik geen test uitvoeren.

Acties:
  • 0Henk 'm!

  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
Wij gebruiken bsmtp voor ontvangen van e-mail van xs4all en versturen het ook via de servers van xs4all.
en alleen de mailservers van xs4all krijgen toegang tot de exchange.

Dit zijn we pas gaan doen nadat we een soortgelijk relay probleem hadden.
het voordeel is dat er dus geen rare verbindingen van buiten de server gemaakt kunnen worden.

sindsdien nooit meer problemen gehad.

[Voor 28% gewijzigd door Proxx op 04-07-2011 13:08]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Jazzy schreef op zaterdag 02 juli 2011 @ 22:47:
Nee, dat is niet normaal. Maar wat ik al vroeg, kun je een screenshot geven van de test die slaagt (terwijl hij hoort te mislukken)? En als je met Protocol logging kijkt, hoe ziet het ontvangen van zo'n spambericht er precies uit? Ik zou toch wel graag precies willen weten wat er gebeurt.
Blijkbaar had ik de server iets te zeer afgeschermd |:( Ondertussen kan ik weer e-mailen, en open relay heb ik nu ook uitgeschakeld als ik www.test-smtp.com mag geloven.

Het enigste wat ik nu heb aangepast is bij Exchange System Manger > Global Settings > Message Delivery > Recipient Filtering een vinkje gezet bij "Filter recipients who are not in the Directory".

Nu even afwachten als het spammen afgelopen is :X

Acties:
  • 0Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 00:02

Jazzy

Moderator SSC/PB

Moooooh!

l00pz schreef op maandag 04 juli 2011 @ 13:18:
[...]
Het enigste wat ik nu heb aangepast is bij Exchange System Manger > Global Settings > Message Delivery > Recipient Filtering een vinkje gezet bij "Filter recipients who are not in the Directory".
Dat bedoelde ik dus met mijn vraag in Jazzy in "Exchange Open Relay" Maar succes verder, hoop dat je uit de problemen bent nu.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0Henk 'm!

  • l00pz
  • Registratie: Mei 2005
  • Laatst online: 09-06 13:32
Jazzy schreef op maandag 04 juli 2011 @ 15:00:
[...]
Dat bedoelde ik dus met mijn vraag in Jazzy in "Exchange Open Relay" Maar succes verder, hoop dat je uit de problemen bent nu.
Sorry dat had ik niet helemaal begrepen. Maar alsnog dankjewel :)

Xs4all heeft gelukkig ook de blokkade opgeheven, dus ik hoop dat alles weer rustig is nu.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee