Spam Versand (OpenRelay, Hack) über Webbox!

Hi @all,

das ist tatsächlich eine Frechheit, dass eine solche Lücke existiert.
Ich hatte das gleiche Problem.
Der betroffene Server wurde über INTL/GSTBOOK dauerhaft mit SPAM-Anfragen belegt.
ICh habe den Webbox-Dienst beendet, und den Ordner "INTL" umbenannt (da sowieso nicht genutzt).

Da können wir gespannt sein, wann es eine Lösung hierfür gibt.

Gruß
synovatec

Schade, dass man im Protokoll keine Uhrzeiten sieht.

@kingkopy:
Bei Dir sieht es aber so aus, als ob dem Client die SSL-Verschlüsselung Probleme bereitet. Leitest Du aus SSL mit selbst signiertem Zertifikat um?

Grüße
Thomas

Zitat von tommy1

Schade, dass man im Protokoll keine Uhrzeiten sieht.

file=40

Zitat von kingcopy

SSL hin oder her was wollen diese IP Adressen auf der WEBBOX? Die haben da nichts verloren....

soll ich die etwas noch accepten?

Natürlich haben die nix auf Deiner Webbox verloren und Du sollst die nicht durchlassen. Ich denke nur, Du hast das Problem vielleicht auch nur zufällig dadurch gelöst, dass Du nur SSL-Verbindungen akzeptierst und die Spam-Programme Dein wahrscheinlich selbst signiertes Zertifikat glücklicherweise nicht akzeptieren, weil Sie es bei keiner Zertifizierungsstelle überprüfen können. Wenn sich allerdings irgendwann ein Spammer die Mühe macht, alle SSL-Fehler einfach zu ignorieren und jedes Zertifikat akzeptiert, könnte er evtl. auch bei Dir durchkommen.

Grüße
Thomas

Zitat von kingcopy

genau so wird es wohl sein.

Ich denke aber trotzdem, das ist eine Frage der Zeit, denn genau genommen haben die Spammer nur schlampig programmiert. Die Gültigkeit des Zertifikats sollte einem Spammer (aus seiner Sicht) völlig egal sein. So würde ich das zumindest programmieren, wenn ich Spammer wäre. Sobald die den Fehler entdecken, ist Dein Server auch in der Praxis dran, denn Du hast eigentlich schon jetzt ein Open Relay, weil die Verbindung ja seitens des Clients abgebrochen und nicht seitens des Servers geblockt wird.

Dazu kommt dass Tobit das Ganze egal ist, denn bekannterweise ist Fx2011 ja völlig veraltet und es gibt keine Patches mehr. Da hilft dann nur noch Daumen drücken.

Viel Glück
Thomas

Hallo Thomas,

hat das Tobit zu Dir gesagt, dass es Ihnen egal ist oder woher hast Du die Information?
Hat jemand von Euch diesbezüglich einen Call eröffnet?
Würde mich sehr interessieren, was Tobit zu der Problematik sagt.

vg, Arte

Zitat von Artefakt

hat das Tobit zu Dir gesagt, dass es Ihnen egal ist oder woher hast Du die Information?

Tobit macht grundsätzlich nix mehr an den alten Versionen, das kann man hier im Forum reichlich lesen und entspricht genau meinen Erfahrungen. Es sollen ja alle artig das Update kaufen.

Zitat von kingcopy

Nene wir nutzen keine Tobit Forms die sind alle weg.... und die PF haben alle Passwörter, da kann niemand Relayen.

Grüße und allen viel Glück
Thomas

Hi Alex,
hier mein ähnliches Problem, hast du bereits eine Lösung:

Diesen Beitrag hatte ich gerade gepostet, ich denke das Problem scheint ja ähnlich zu sein:

Sehr geehrte Administratoren,
bevor ich zu meiner Problemschilderung komme, hier ein kurzer Überblick zur Installation:
Beachtet das ich kein professioneller IT-Admin bin. Falls irgendwelche Einzelheiten fehlen oder falsch beschrieben
sind einfach nachhaken, dann liefere ich Informationen nach!

David fx 2011 auf einem 2008 Server (ordentliches Domänennetzwerk) (alle verfügbaren Updates sind geladen)
16 Benutzer
AntiVirus über "AntiVir Serverversion"
David läuft seit ca. 5 Jahren, bisher ohne Probleme.

- 5 user nutzen den Web-Access
- 3 user arbeiten hiervon zusätzlich via Iphone mit dem David App + der Cord+Call Dav Sync
- Den IP-Sync realisieren wir über einen dyndns account
- Port 81.267 ist in der Firewall offen
- Port 25 ist DICHT!

Problem:
Seit einigen Wochen werden wir, so vermute ich es von einem spammer missbraucht.
Aufgefallen ist mir dies, als vor einiger Zeit der Postausgang "hing" und im Transit Ordner mails standen die sehr verdächtig nach spam aussahen.
Daraufhin habe ich mir das ganze angeschaut und mir ist folgendes aufgefallen:
- Der David System User versucht ständig mails (spam mails) zu versenden (siehe Anhang, Ausgang David System User).

Info:
Da wir mit vielen MFC Geräten scan to email betreibeben hatte ich bisweilen die Weiterleitungsfunktion auf "Erlaubte Weiterleitung stehen".
Diesen Punkt habe ich komplett deaktiviert. Leider trotzdem keine Verbesserung.

Das einzige was geholfen hat, die Firewall am Router (Linksys VPN Router) komplett dicht zu machen. Hiernach hatte ich für eine halbe Stunde zumindest keine Post im Ausgangsordner vom David System User.
Also vermute ich das hier das Problem liegt. Kann das denn sein, das der David Server über den Port 81 mails zum versenden annimmt?

Was kann ich hier tun, wie würdet ihr hier vorgehen?

Wieso nimmt David überhaupt solche Email entgegeben? Im Moment helfe ich mir mit einer Regel, das kann ja aber keine dauerhafte Lösung sein.

Wäre super glücklich, wenn mir jemand weiterhelfen kann.

MfG

Sebastian Thies

Danke dir,
ich glaube ich habs bereits gefunden. Über das Gästebuch im WWW Ordner habe ich entsprechende Einträge gesichtet.
Daran hats gelegen. Habe den kompletten wold wide web ordern außer den postlagernd einfach gelöscht.

Ich danke und wünsche schöne Ostertage,

ciao