[Exchange 2000] krijgtveel onbekende mail in SMTP queue - Client software algemeen

donderdag 28 augustus 2003 12:04

Acties:

0 Henk 'm!

Give it the Works !

Topicstarter

Beste medetweakers

Ik heb hier het volgende probleem.
In de SMTP queue's komen binnen enkele seconden honderden mails binnen. Deze zijn van vele verschillende afzenders. Vaak eindigend op ms??.hinet.net, waarbij de vraagtekens steeds wisselende nummers zijn. En de adressen voor de @ zijn compleet random. Verder komen er op onverklaarbare wijze mails vanaf het postmaster emailadres, ook weer naar diverse mailadresssen. Ook Yahoo.com.tw etc.

De SMTP van de provider blockt nu al de smtp mails, exchange stuurt ze door naar de provider. De provider stuurt mailtjes "You are a spammer of smtp relayer".

Wat heb ik al gedaan:
Sobig.F + BugBear.B tools gedraaid -> geen resultaat
Virusscanner geupdate (McAfee) -> geen resultaat
Windows update -> geen resultaat
Online virusscan van McAfee, Symantec -> geen resultaat
Ad Aware 6 laatste versie -> geen noemenswaardige dingen gevonden
Website's van Microsoft, Virusalert, McAfee, Symantec doorgespit, Met google gezocht maar vond niets over nieuwe meldingen van exchange virussen of iets dergelijks.

Spam filter op Exchange gezet, deze blockt alles waar *@*.hinet.net instaat en alles wat van postmaster@domeinnaam.nl blockt. Echter de mails stromen nog steeds binnen OOK als de server geen enkele netwerkverbinding heeft.
De Exchange System Manager is de helft van de tijd een minuut bezig met refreshen, hij heeft het nogal druk

En dat terwijl we het hier hebben over een:

Intel Xeon 2400 - 1GB
De server draait Windows 2000 Server UK - SP4, Exchange 2000 SP3 + post-PS3
De firewall (ISA) laat alleen poort 25 door als uitgaand.

Heeft iemand enige idee wat dit kan zijn?

Ik heb zelf het idee dat er een of ander programma opstaat wat constant aan het spammen is maar hoe weet ik waar die staat en waar ik die kan uitschakelen.

[ Voor 12% gewijzigd door FastBunny op 28-08-2003 12:08 ]

Server: Dell PowerEdge R610, 48GB DDR3 1333MHz, 3 x 4TB IronWolf RAID5, Dell H700, VMware ESXi 6.0
Laptop: Dell Latitude E6510, Intel i5-560m, 8GB RAM, 128GB Samsung SSD, 250GB 7200rpm, 15.4" WUXGA FHD
PSN: FastBunny_NL

donderdag 28 augustus 2003 12:09

Acties:

0 Henk 'm!

Redje

Ik denk dat je relay aan hebt staan.

Ik had thuis Sophos MailMonitor op Linux geinstalleerd en d8 (omdat deze gebruik maakt van Postfix) ook relay proof te zijn, helaas, na een dag kwam ik er achter dat m'n queue wel erg vol was.

Bijna alle relay mail kwamen ook van hinet.net waarschijnlijk hebben die gasten in Taiwan daar niks te toen en scannen ze graag naar open relays.

Ik zou zeggen doe eens een test op ordb.org en test of je relay-proof bent.
Waarschijnlijk niet, dus moet je je Exchange beter instellen.

Het lullige is dat ik nu na maanden nog steeds veel relay pogingen krijg van die gasten van hinet.net

[ Voor 13% gewijzigd door Redje op 28-08-2003 12:10 ]

donderdag 28 augustus 2003 12:11

Acties:

0 Henk 'm!

geurtd

www.geurt.com

Het verhaal is me niet helemaal duidelijk maar het lijkt erop alsof je relay aan hebt staan op je exchange server.
In je smtp queue krijg je dus mailtjes met een vreemde afzender, die zouden als je relay uit hebt staan helemaal niet doorgestuurd mogen worden.
Maar zet je smtp logging eens wat hoger en kijk welke machine verbinding maakt met jouw exchange server om die mailtjes te versturen.

controleer bij exchange of je bij het tabblad Address Space van je SMTP connector het vinkje relay uit hebt staan. Die moet echt uit staan (zo staat ie default overigens).
Staat deze aan dan relayed exchange alles door naar de domains die er boven aangegeven staan.
Bij een smtp connector die voor internet doeleinde gebruikt wordt staat hier meestal als domain *, dus maw hij relayed dan alles naar iedereen.

[ Voor 35% gewijzigd door geurtd op 28-08-2003 12:16 ]

Life is like a box of chocolates, you never know wich one will kill you

donderdag 28 augustus 2003 12:12

Acties:

0 Henk 'm!

axis

FastBunny schreef op 28 August 2003 @ 12:04:
Spam filter op Exchange gezet, deze blockt alles waar *@*.hinet.net instaat en alles wat van postmaster@domeinnaam.nl blockt. Echter de mails stromen nog steeds binnen OOK als de server geen enkele netwerkverbinding heeft.
De Exchange System Manager is de helft van de tijd een minuut bezig met refreshen, hij heeft het nogal druk En dat terwijl we het hier hebben over een:

Euh?

Dan kunnen we dus een externe oorzaak uitsluiten. Task manager processer bekeken? Misschien kun je met TCPView iets vinden? (is een grafische ui ipv netstat, maar doet hetzelfde, kun je alle TCP connecties zien) http://www.sysinternals.com/ntw2k/source/tcpview.shtml

[ Voor 4% gewijzigd door axis op 28-08-2003 12:12 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 28 augustus 2003 12:18

Acties:

0 Henk 'm!

geurtd

www.geurt.com

Sorry hoor maar volgens mij zorgt een spam filter ervoor dat er geen spam de organisatie binnenkomt, hij voorkomt NIET dat jij spam verstuurd als relay.
Dus een externe oorzaak kan wel degelijk.

Life is like a box of chocolates, you never know wich one will kill you

donderdag 28 augustus 2003 12:19

Acties:

0 Henk 'm!

Verwijderd

even mail relay checken met http://www.abuse.net/relay.html
alle 17 testen moeten relaying denied aangeven !

donderdag 28 augustus 2003 12:27

Acties:

0 Henk 'm!

Verwijderd

ipv lange discussies gewoon de mail relay check doen ! Als je eenmaal als realy bent gebruikt dendert dat nog lang door !

donderdag 28 augustus 2003 12:46

Acties:

0 Henk 'm!

Maurits van Baerle

Ik draai al jaren een Exchange 2000 server aan internet, heb nog nooit positief gescoord op enige relay-test of verschenen in een relay-block-list of spammers-list maar heb toch allemaal vreemde spammail in mijn queue staan. Dit wordt dus wel aangenomen alleen nooit verstuurd (kennelijk), na een tijdje verdwijnen ze vanzelf.

Doe dus inderdaad de relaytests, pas je instellingen aan tot alle tests aangeven dat je geen open-relay bent en kijk of er dan nog iets in je queue verschijnt. Als het, zoals bij mij, toch in je queue verschijnt moet je er misschien maar mee leren leven.

^{Mocht er iemand trouwens een tip hebben om er vanaf te komen hou ik me aanbevolen, het staat toch slordig in m'n queue}

[ Voor 23% gewijzigd door Maurits van Baerle op 28-08-2003 12:48 ]

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

donderdag 28 augustus 2003 13:29

Acties:

0 Henk 'm!

FastBunny

Give it the Works !

Topicstarter

De relay test doet het niet, omdat deze geen eens toegang tot de exchange server kan krijgen. Niet op ip adres van router, niet op dns naam van de mailserver, welke een geldige internet naam is.

Hij zegt meteen al dat hij geen verbinding kan maken

Server: Dell PowerEdge R610, 48GB DDR3 1333MHz, 3 x 4TB IronWolf RAID5, Dell H700, VMware ESXi 6.0
Laptop: Dell Latitude E6510, Intel i5-560m, 8GB RAM, 128GB Samsung SSD, 250GB 7200rpm, 15.4" WUXGA FHD
PSN: FastBunny_NL

donderdag 28 augustus 2003 13:53

Acties:

0 Henk 'm!

mutsje

Certified Prutser

inetinfo.exe , store.exe:2008 , mad.exe:1228 , emsmta.exe:2036

dit zijn gewoon exchange processen.

Ik raad je aan de machine eens te rebooten.

hier is een document over messagetroubleshooting (simpele manier om je queues en dergelijke te stoppen....

voor de rest zou ik eerst de server eens rebooten en dan je relay checken (properties SMTP connector in je Exchange System Manager)

donderdag 28 augustus 2003 13:55

Acties:

0 Henk 'm!

Verwijderd

@MauritsvanBaerle: ga naar "Queues" onder "Default SMTP Virtual Server", rechts-klik de queue met de spam messages, en kies "enumerate 100 messages", rechts-klik de queue nogmaals, en je kan de messages deleten, met- en zonder NDR...

donderdag 28 augustus 2003 14:01

Acties:

0 Henk 'm!

FastBunny

Give it the Works !

Topicstarter

mutsje schreef op 28 August 2003 @ 13:53:
[...]
dit zijn gewoon exchange processen.

Ik raad je aan de machine eens te rebooten.

hier is een document over messagetroubleshooting (simpele manier om je queues en dergelijke te stoppen....

voor de rest zou ik eerst de server eens rebooten en dan je relay checken (properties SMTP connector in je Exchange System Manager)

De pc heb ik al een paar keer opnieuw opsgestart, ik ga zo dat document even doorspitten.

Verwijderd schreef op 28 August 2003 @ 13:55:
@MauritsvanBaerle: ga naar "Queues" onder "Default SMTP Virtual Server", rechts-klik de queue met de spam messages, en kies "enumerate 100 messages", rechts-klik de queue nogmaals, en je kan de messages deleten, met- en zonder NDR...

Ja die stappen ken ik ondetussen al bijna blind

Ik haal zelfs gewoon de mail via de verkenner uit de Queue en Badmail mappen van de Exchange Server Mailroot directory.

Server: Dell PowerEdge R610, 48GB DDR3 1333MHz, 3 x 4TB IronWolf RAID5, Dell H700, VMware ESXi 6.0
Laptop: Dell Latitude E6510, Intel i5-560m, 8GB RAM, 128GB Samsung SSD, 250GB 7200rpm, 15.4" WUXGA FHD
PSN: FastBunny_NL

donderdag 28 augustus 2003 14:05

Acties:

0 Henk 'm!

Maurits van Baerle

Verwijderd schreef op 28 augustus 2003 @ 13:55:
@MauritsvanBaerle: ga naar "Queues" onder "Default SMTP Virtual Server", rechts-klik de queue met de spam messages, en kies "enumerate 100 messages", rechts-klik de queue nogmaals, en je kan de messages deleten, met- en zonder NDR...

Ja die functie ken ik maar ik wil het liever voorkomen in plaats van voortdurend opruimen.

Anders moet ik naast mijn server slapen om de hele dag de queue schoon te houden.

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

donderdag 28 augustus 2003 14:12

Acties:

0 Henk 'm!

Verwijderd

FastBunny schreef op 28 August 2003 @ 13:29:
De relay test doet het niet, omdat deze geen eens toegang tot de exchange server kan krijgen. Niet op ip adres van router, niet op dns naam van de mailserver, welke een geldige internet naam is.

Hij zegt meteen al dat hij geen verbinding kan maken

hmm , net nog geprobeerd. Ging prima. Wel je systeemnaam op ip address opgeven en niet je domain name !

donderdag 28 augustus 2003 14:14

Acties:

0 Henk 'm!

FastBunny

Give it the Works !

Topicstarter

Verwijderd schreef op 28 August 2003 @ 14:12:
[...]

hmm , net nog geprobeerd. Ging prima. Wel je systeemnaam op ip address opgeven en niet je domain name !

Ja je externe adres toch neem ik aan? Die heb ik geprobeerd, zelfs de dns naam pakt ie niet. Niet heel gek opzich als poort 25 al lang dichtgetimmerd zit

Server: Dell PowerEdge R610, 48GB DDR3 1333MHz, 3 x 4TB IronWolf RAID5, Dell H700, VMware ESXi 6.0
Laptop: Dell Latitude E6510, Intel i5-560m, 8GB RAM, 128GB Samsung SSD, 250GB 7200rpm, 15.4" WUXGA FHD
PSN: FastBunny_NL

donderdag 28 augustus 2003 14:23

Acties:

0 Henk 'm!

Maurits van Baerle

FastBunny schreef op 28 August 2003 @ 14:14:
[...]

Ja je externe adres toch neem ik aan? Die heb ik geprobeerd, zelfs de dns naam pakt ie niet. Niet heel gek opzich als poort 25 al lang dichtgetimmerd zit

Dus hij kan eigenlijk geen mail ontvangen maar er loopt wel spam doorheen? Dan lijkt me dus duidelijk dat de bron in je eigen netwerk of misschien zelfs op je eigen server zit.

Draai één of meerdere virusscanners over je server heen, niet die Exchange-geintegreerde maar echte virusscanners die alle bestanden scannen. Zet wel eerst al je Exchange-services uit want Exchange-servers mag je eigenlijk niet zomaar scannen met dit soort scanners! Anders slopen ze je hele Exchange-DB's.

Je zou tijdelijk alle schijven op je Exchange-machine even kunnen sharen en dan vanaf een andere machine door een share heen scannen met een virusscanner, dan hoef je geen risico's te nemen door virusscanners op de server zelf te installeren. En vergeet niet die shares erna weer te verwijderen!

[ Voor 4% gewijzigd door Maurits van Baerle op 28-08-2003 14:25 ]

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

donderdag 28 augustus 2003 14:29

Acties:

0 Henk 'm!

FastBunny

Give it the Works !

Topicstarter

MauritsvanBaerle schreef op 28 August 2003 @ 14:23:
[...]

Dus hij kan eigenlijk geen mail ontvangen maar er loopt wel spam doorheen? Dan lijkt me dus duidelijk dat de bron in je eigen netwerk of misschien zelfs op je eigen server zit.

Draai één of meerdere virusscanners over je server heen, niet die Exchange-geintegreerde maar echte virusscanners die alle bestanden scannen. Zet wel eerst al je Exchange-services uit want Exchange-servers mag je eigenlijk niet zomaar scannen met dit soort scanners! Anders slopen ze je hele Exchange-DB's.

Je zou tijdelijk alle schijven op je Exchange-machine even kunnen sharen en dan vanaf een andere machine door een share heen scannen met een virusscanner, dan hoef je geen risico's te nemen door virusscanners op de server zelf te installeren. En vergeet niet die shares erna weer te verwijderen!

Er staat McAfee NetShield 2000 op met de meest recente definities (27 augustus).
En die kan ondanks meerdere scans niets vinden. En het gekke is dat de mails geen virussen bevatten voor zover ik ze kan testen maar puur reclame rotzooi is

Server: Dell PowerEdge R610, 48GB DDR3 1333MHz, 3 x 4TB IronWolf RAID5, Dell H700, VMware ESXi 6.0
Laptop: Dell Latitude E6510, Intel i5-560m, 8GB RAM, 128GB Samsung SSD, 250GB 7200rpm, 15.4" WUXGA FHD
PSN: FastBunny_NL

donderdag 28 augustus 2003 14:36

Acties:

0 Henk 'm!

mutsje

Certified Prutser

heb je meerdere smtp "servers" in je organisatie of probeerd een ander systeem via jou mailserver naar buiten te mailen. Heb je al gekeken of je relay dicht staat in de smtp eigenschappen.

donderdag 28 augustus 2003 14:52

Acties:

0 Henk 'm!

FastBunny

Give it the Works !

Topicstarter

mutsje schreef op 28 August 2003 @ 14:36:
heb je meerdere smtp "servers" in je organisatie of probeerd een ander systeem via jou mailserver naar buiten te mailen. Heb je al gekeken of je relay dicht staat in de smtp eigenschappen.

Dit is de enige smtp server in het netwerk. Er staat nog wel ergens een linux server met een inbelverbinding welke als smtp relaying kan dienen, echter deze is niet aan het netwerk hier verbonden. Dit is namelijkde oude server die vervangen is door een groep Windows 2000 servers. Relaying staat alleen aan als de gebruiken 'authenticated' is en vanaf het interne sub-net. Maar ook zonder netwerk blijft ie mails in de queue gooien (lees: binnenkrijgen)

Server: Dell PowerEdge R610, 48GB DDR3 1333MHz, 3 x 4TB IronWolf RAID5, Dell H700, VMware ESXi 6.0
Laptop: Dell Latitude E6510, Intel i5-560m, 8GB RAM, 128GB Samsung SSD, 250GB 7200rpm, 15.4" WUXGA FHD
PSN: FastBunny_NL

donderdag 28 augustus 2003 19:09

Acties: