Toon posts:

[Exchange 2000] Open mail relay.

Pagina: 1
Acties:
  • 144 views sinds 30-01-2008
  • Reageer

dinsdag 16 september 2003 14:52

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Gisteren kreeg ik een mailtje van onze ISP met de melding dat wij waarschijnlijk een open relay hebben. Dit vond ik gek, aangezien ik het vorige maand nog getest had, en hij toen wel dicht stond. Als ik een relay test laat uitvoeren door ORDB.org, zeggen zij ook dat hij niet open staat, maar ik kan toch echt via onze SMTP server naar een ander domain mailen onder een gespooft adres.

Ik heb de instellingen nagekeken, en deze vergeleken met deze links:

http://support.microsoft....aspx?scid=kb;en-us;310380

http://www.msexchange.org/tutorials/MF005.html

De SMTP connector waar over gesproken wordt, gebruiken wij niet. Vreemde is dus dat we "ineens" een open relay hebben, maar volgens de Exchange instellingen zou hij dicht moeten staan. We gebruiken Exchange 2000 SP3 en Windows server 2000 SP4. Misschien een bugje in SP4? Heeft er iemand een suggestie waar ik naar zou kunnen kijken?

HODL

dinsdag 16 september 2003 14:57

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Attack | Exploit | Pwn

misschien een SP4 probleem.
Mail relay settings may change, if your server is sending mail this setting may have to be reset in the MMC.
bron: http://www.w2knews.com/anecdotes.htm

hopelijk kom je hier weer wat verder mee :)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 16 september 2003 15:31

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Ik zal SP4 een deinstalleren, kijken wat er gebeurt. Tnx voor de tip in ieder geval! :)

HODL

dinsdag 16 september 2003 22:47

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Is inderdaad een bug in SP4! Zojuist eraf geknalt en het werkt weer! Wordt je toch niet goed van! :?

HODL

woensdag 17 september 2003 14:40

Acties:
  • 0 Henk 'm!
  • WiNlUx
  • Registratie: April 2002
  • Laatst online: 12-09-2023

WiNlUx

Ralphie schreef op 16 September 2003 @ 22:47:
Is inderdaad een bug in SP4! Zojuist eraf geknalt en het werkt weer! Wordt je toch niet goed van! :?
Heb je dit al naar microsoft gemaild? Of zijn er al patches voor... (ik moet ook sp4 op de zaak installen maar wacht er nu maar ff mee :))

woensdag 17 september 2003 15:54

Acties:
  • 0 Henk 'm!
  • mutsje
  • Registratie: September 2000
  • Laatst online: 03-09 18:40

mutsje

Certified Prutser

Vreemd ik heb SP4 ook op mijn Windows 2000 server met Exchange2000 server gezet maar nergens last van.

[ Voor 14% gewijzigd door mutsje op 17-09-2003 15:54 ]

woensdag 17 september 2003 17:56

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

mutsje schreef op 17 September 2003 @ 15:54:
Vreemd ik heb SP4 ook op mijn Windows 2000 server met Exchange2000 server gezet maar nergens last van.
Daarom staat het ook onder het hoofdstuk "http://www.w2knews.com/anecdotes.htm"
Waarschijnlijk heeft TS z'n relay settings sowieso niet goed voorelkaar

QnJhaGlld2FoaWV3YQ==

donderdag 18 september 2003 09:06

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Relay settings staan ingesteld zoals in de beide links. Als jij weet waar ik eventueel nog meer aan kan passen, dan hoor ik het graag!

HODL

donderdag 18 september 2003 11:08

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Ralphie schreef op 18 September 2003 @ 09:06:
Relay settings staan ingesteld zoals in de beide links. Als jij weet waar ik eventueel nog meer aan kan passen, dan hoor ik het graag!
Best wel vaag want beide artikelen zeggen: "Microsoft Exchange 2000 by default does not allow unauthorized Relaying". Betekent dat, dat jij alle instellingen op default hebt laten staan? Zo niet: wat heb je dan veranderd?

QnJhaGlld2FoaWV3YQ==

donderdag 18 september 2003 11:59

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Alles staat op default. Alleen het interne netwerk subnet staat ingevuld, verder staat er een vinkje voor: "Allow all computers which succesfully authenticate to realy, regardless of the list above." Bij Authentication staat: Anonymous, Basic en Integrated Windows authentication aangevinkt. Deze gegevens zijn overgenomen van de bovenstaande links. Kortom alleen interne en mensen die zich kunnen authenticeren mogen relayen via onze SMTP.

HODL

donderdag 18 september 2003 13:24

Acties:
  • 0 Henk 'm!
  • collin
  • Registratie: Februari 2000
  • Laatst online: 18-12-2024

collin

Who da man !!

Kun je aangeven hoe je een mailtje stuurt onder een 'gespooft' adres? Telnet je dan naar je mailserver (van buiten af) op poort 25 en dan de hele riedel met mail from: - rcpt to: etc?

Hoe test je dat? Check ik of ik dat ook kan doen bij mijn 2k exchange server.

Mijn iRacing profiel

donderdag 18 september 2003 13:33

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Yep telnet naar extern IP. Bij mail from: vul je een nep adres in (spam@spam.nl bijv) hij zegt dan sender ok. Bij rcpt to: vul je een ontvanger in buiten jou exchange omgeving. (Hotmail bijv) Staat je relay dicht, dan moet je de melding "unable to relay" krijgen.

HODL

donderdag 18 september 2003 14:14

Acties:
  • 0 Henk 'm!
  • collin
  • Registratie: Februari 2000
  • Laatst online: 18-12-2024

collin

Who da man !!

En bij jou accepteerd hij dus de mail en relayt hij op die manier? Omdat je dit zegt:
maar ik kan toch echt via onze SMTP server naar een ander domain mailen onder een gespooft adres

Mijn iRacing profiel

donderdag 18 september 2003 14:27

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Ralphie schreef op 18 september 2003 @ 11:59:
[...] Alleen het interne netwerk subnet staat ingevuld,[...]
Ralphie schreef op 18 september 2003 @ 13:33:
Yep telnet naar extern IP. Bij mail from: vul je een nep adres in (spam@spam.nl bijv) hij zegt dan sender ok. Bij rcpt to: vul je een ontvanger in buiten jou exchange omgeving. (Hotmail bijv) Staat je relay dicht, dan moet je de melding "unable to relay" krijgen.
En test je dat vanaf je interne netwerk?(dan vin'k 't namelijk niet zo vreemd dattie mag relayen)

QnJhaGlld2FoaWV3YQ==

donderdag 18 september 2003 15:32

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Brahiewahiewa schreef op 18 september 2003 @ 14:27:
[...]


[...]

En test je dat vanaf je interne netwerk?(dan vin'k 't namelijk niet zo vreemd dattie mag relayen)
Hehee nee, dit heb ik getest met een inbel verbinding.

[ Voor 3% gewijzigd door Ralphie op 18-09-2003 15:32 ]

HODL

donderdag 18 september 2003 15:32

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
collin schreef op 18 September 2003 @ 14:14:
En bij jou accepteerd hij dus de mail en relayt hij op die manier? Omdat je dit zegt:

[...]
Yep, maar nu niet meer!

HODL

donderdag 18 september 2003 16:02

Acties:
  • 0 Henk 'm!

Verwijderd

Ralphie schreef op 18 September 2003 @ 11:59:
"Allow all computers which succesfully authenticate to realy, regardless of the list above." Bij Authentication staat: Anonymous, Basic en Integrated Windows authentication aangevinkt. .
Lijkt je dat niet wat vreemd: Enerzijds "only succesfully authenticated anderzijds wel anonymous aanmelden toestaan????

donderdag 18 september 2003 16:26

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Verwijderd schreef op 18 September 2003 @ 16:02:
[...]Lijkt je dat niet wat vreemd: Enerzijds "only succesfully authenticated anderzijds wel anonymous aanmelden toestaan????
Hoe wil je anders binnenkomende mail ontvangen? Iedereen op het hele internet een username/password combinatie toesturen?
Analogie: doe jij je brievenbus ook op slot?

QnJhaGlld2FoaWV3YQ==

donderdag 18 september 2003 16:34

Acties:
  • 0 Henk 'm!

Verwijderd

We hebben het over relaying niet over het ontvangen van mail toch?

donderdag 18 september 2003 17:59

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Verwijderd schreef op 18 September 2003 @ 16:34:
We hebben het over relaying niet over het ontvangen van mail toch?
Hoe wil jij mail relayen zonder te ontvangen?

QnJhaGlld2FoaWV3YQ==

dinsdag 30 september 2003 16:29

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
Ok we hebben volgens onze ISP nog steeds een open relay. Ik heb vervolgens een test gedaan op Abuse.net er daar kwam het volgende uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82

Mail relay testing 
Connecting to xxx.xxx.xxx.xxx for registered user test to abuse.net forwarding address ...
<<< 220 svrmail1.xxxxxxxx.nl Microsoft ESMTP MAIL Service, Version: 5.0.2195.5329 ready at  Tue, 30 Sep 2003 16:15:03 +0200 
>>> HELO www.abuse.net
<<< 250 svrmail1.xxxxxxxxx.nl Hello [208.31.42.77]


Relay test 1
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@abuse.net>
<<< 250 2.1.0 spamtest@abuse.net....Sender OK
>>> RCPT TO:<user-35900@nf.abuse.net>
<<< 550 5.7.1 Unable to relay for user-35900@nf.abuse.net

Relay test 2
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest>
<<< 250 2.1.0 spamtest@xxxxxxxxx.nl....Sender OK
>>> RCPT TO:<user-35900@nf.abuse.net>
<<< 550 5.7.1 Unable to relay for user-35900@nf.abuse.net

Relay test 3
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<>
<<< 250 2.1.0 <>....Sender OK
>>> RCPT TO:<user-35900@nf.abuse.net>
<<< 550 5.7.1 Unable to relay for user-35900@nf.abuse.net

Relay test 4
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@[ip_adres]>
<<< 250 2.1.0 spamtest@[ip_adres]....Sender OK
>>> RCPT TO:<user-35900@nf.abuse.net>
<<< 550 5.7.1 Unable to relay for user-35900@nf.abuse.net

Relay test 5
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@router.xxxxxxxx.nl>
<<< 250 2.1.0 spamtest@router.xxxxxxxx.nl....Sender OK
>>> RCPT TO:<user-35900@nf.abuse.net>
<<< 550 5.7.1 Unable to relay for user-35900@nf.abuse.net

Relay test 6
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@[IP_ADRES]>
<<< 250 2.1.0 spamtest@[IP_ADRES]....Sender OK
>>> RCPT TO:<user-35900%nf.abuse.net@[IP_ADRES]>
<<< 550 5.7.1 Unable to relay for user-35900%nf.abuse.net@[IP_ADRES]

Relay test 7
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@[IP_ADRES]>
<<< 250 2.1.0 spamtest@[IP_ADRES]....Sender OK
>>> RCPT TO:<user-35900%nf.abuse.net@router.xxxxxxxxxx.nl>
<<< 550 5.7.1 Unable to relay for user-35900%nf.abuse.net@router.xxxxxxxxx.nl

Relay test 8
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@[IP_ADRES]>
<<< 250 2.1.0 spamtest@[IP_ADRES]....Sender OK
>>> RCPT TO:<"user-35900@nf.abuse.net">
<<< 250 2.1.5 "user-35900@nf.abuse.net"@xxxxxxxx.nl 
>>> DATA
<<< 354 Start mail input; end with <CRLF>.<CRLF>
>>> (message body)
<<< 250 2.6.0  <rlytest-1064931348-3291@abuse.net> Queued mail for delivery

Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.
THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.

Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not.

[b]If it is really an open relay, the test message will be delivered to you. If you do not receive the test message in your e-mail in the next few hours, it IS NOT an open relay.[/b]



Hij loop dus vast bij test 8, omdat er een mailtje gestuurd wordt NAAR een adres binnen ons domein. Mijn inziens is dit nog geen open relay, omdat er niet door ons domein naar een ander domain gemaild (kan) worden. Ten tweede als je de laatste regel leest van de tekst, moet je binnen een aantal uur een mailtje hebben ontvangen, zo niet, dan heb je geen open relay. Nu heb ik deze test gisteren uitgevoerd en nog steeds niets ontvangen.
Kan ik er nu vanuit gaan dat we GEEN open relay meer hebben?

HODL

dinsdag 30 september 2003 16:33

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Nu online

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ralphie -> waar vind je die link om te checken op abuse.net? Ik kan hem niet vinden of lees er overheen?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 30 september 2003 17:04

Acties:
  • 0 Henk 'm!
  • Ralphie
  • Registratie: Oktober 2000
  • Laatst online: 12:45

Ralphie

Topicstarter
www.abuse.net/relay.html

HODL

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq