Hi!
We hebben hier een lastig probleempje met onze Exchange server (sbs2008)
Via Wireshark zie ik dat er spam wordt gestuurd door onze server. De server is geen open relay. Daarnaast heb ik SMTP authtentication uitgezet om te kijken of er wellicht een account gehijacked is. Ook heb ik de receive connector eventjes ingesteld dat deze geen verbindingen toestaat.
Beide maatregelen houden de spam niet tegen. De spam wordt wel echt via de Exchange server verzonden, die zie ik aan de HELO naam. Daarnaast stopt de spam als ik de transport service stop.
Gek is deze uitgaande spam niet terug te zien in het ''Message Tracking'' tooltje.
SMTP logs laten enkel de SMTP transactie zien
Hoe kan ik er achter komen wat de bron precies is? Malwarebytes en andere scanners vinden niets!
We hebben hier een lastig probleempje met onze Exchange server (sbs2008)
Via Wireshark zie ik dat er spam wordt gestuurd door onze server. De server is geen open relay. Daarnaast heb ik SMTP authtentication uitgezet om te kijken of er wellicht een account gehijacked is. Ook heb ik de receive connector eventjes ingesteld dat deze geen verbindingen toestaat.
Beide maatregelen houden de spam niet tegen. De spam wordt wel echt via de Exchange server verzonden, die zie ik aan de HELO naam. Daarnaast stopt de spam als ik de transport service stop.
Gek is deze uitgaande spam niet terug te zien in het ''Message Tracking'' tooltje.
SMTP logs laten enkel de SMTP transactie zien
code:
1
2
3
4
5
6
7
8
9
10
11
12
| 2013-01-11T18:59:07.058Z,Versturen,08CFBE055542A8E6,2,192.168.2.204:32154,195.128.50.36:25,<,220 mailx.hoster.ru ESMTP spamd IP-based SPAM blocker; Fri Jan 11 21:59:03 2013, 2013-01-11T18:59:07.058Z,Versturen,08CFBE055542A8E6,3,192.168.2.204:32154,195.128.50.36:25,>,EHLO e01.x.nl, 2013-01-11T18:59:07.105Z,Versturen,08CFBE055542A8E6,4,192.168.2.204:32154,195.128.50.36:25,<,"250 Hello, spam sender. Pleased to be wasting your time.", 2013-01-11T18:59:07.105Z,Versturen,08CFBE055542A8E6,5,192.168.2.204:32154,195.128.50.36:25,*,188889,sending message 2013-01-11T18:59:07.105Z,Versturen,08CFBE055542A8E6,6,192.168.2.204:32154,195.128.50.36:25,>,MAIL FROM:<>, 2013-01-11T18:59:07.152Z,Versturen,08CFBE055542A8E6,7,192.168.2.204:32154,195.128.50.36:25,<,"250 You are about to try to deliver spam. Your time will be spent, for nothing.", 2013-01-11T18:59:07.152Z,Versturen,08CFBE055542A8E6,8,192.168.2.204:32154,195.128.50.36:25,>,RCPT TO:<gNNycoXnV@svyatogorsochi.ru>, 2013-01-11T18:59:07.214Z,Versturen,08CFBE055542A8E6,9,192.168.2.204:32154,195.128.50.36:25,<,250 This is hurting you more than it is hurting me., 2013-01-11T18:59:07.214Z,Versturen,08CFBE055542A8E6,10,192.168.2.204:32154,195.128.50.36:25,>,DATA, 2013-01-11T18:59:07.261Z,Versturen,08CFBE055542A8E6,11,192.168.2.204:32154,195.128.50.36:25,<,"451 Greylisting is in progress. Please, delay the message for at least 15 minutes before retry.", 2013-01-11T18:59:07.261Z,Versturen,08CFBE055542A8E6,12,192.168.2.204:32154,195.128.50.36:25,>,QUIT, 2013-01-11T18:59:07.308Z,Versturen,08CFBE055542A8E6,13,192.168.2.204:32154,195.128.50.36:25,-,,Remote |
Hoe kan ik er achter komen wat de bron precies is? Malwarebytes en andere scanners vinden niets!
20 jaar, en wat had ik bereikt?
:strip_icc():strip_exif()/u/17296/palawanmini.jpg?f=community)
:strip_icc():strip_exif()/u/23150/stan.jpg?f=community)