Beiträge von jwerner

    Du hast den Konstrukt genau erkannt. :thumbup:

    Provider per MX -> Spamfilter -> per MX an Tobitserver (Portforwarding)


    Die lokale Firewall lässt nun nur noch Zugriffe aus dem Netz vom Spamfilter zu. Das ist auch getestet.


    Leider war das vor ein paar Tagen noch nicht so und deswegen, wie Du auch richtig erkannt hast kurzzeitig > Openrelay

    in der ausgehenden Mail steht:

    NOTIFICATION ONLY.

    YOU DO NOT NEED TO RESEND YOUR MESSAGE.


    Delivery of the following message has been delayed.


    To: asperaexp@gmail.com

    Subject: .

    From: curage@apeldoorner.nl

    Sent: Tue, 09 Jul 2019 10:11:37 +0200



    Error on last try: Unknown Error


    Message is still undelivered after 12 hours.

    Trying transmission will be continued until message is 1 day old.


    Automatically generated Delivery Status Notification by DvISE PostMan.


    in den sekündlich erstellten eingehenden Mails steht:

    X-DvISE-ForwardJob: Try count: 1, FirstTry: Wed, 10 Jul 2019 03:10:09 +0200

    Received: from rc-modeli.ru [177.130.156.178] by xxxxxxxxxx.de with David.fx (0408.47454B4A45464A4F5150);

    10 Jul 2019 01:10:03 UT

    Message-ID: <af6c8bd8d3f82d210762d48773b41e14c58de1b6@doscafeteras.es>

    From: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGAINCf0LDQstC70L7QstC4?=

    =?utf-8?B?0Yc=?= <alekseenko@doscafeteras.es>

    To: =?utf-8?B?0JLQuNC60YLQvtGA?= <ngskurort@4duk.ru>

    Subject: =?utf-8?B?0JvQuNGI0YwgMTAlINC/0YDQtdC00L/RgNC40L3QuNC8?=

    =?utf-8?B?0LDRgtC10LvQtdC5INCz0YDQsNC80L7RgtC90L4g0LvQ?=

    =?utf-8?B?uNC60LLQuNC00LjRgNGD0Y7RgiDRgdCy0L7QtSAg0J7Q?=

    =?utf-8?B?ntCeLiAzINGB0L/QvtGB0L7QsdCwLi4=?=

    Date: Wed, 10 Jul 2019 04:08:46 +0300

    MIME-Version: 1.0

    Content-Type: multipart/related; boundary="a3a61043489cb320fcf9b00f7ba97140ff24"

    --a3a61043489cb320fcf9b00f7ba97140ff24

    Content-Type: multipart/alternative; boundary="200abcefe4cfe5ec5055e34fa8fcd02e4071f5"

    --200abcefe4cfe5ec5055e34fa8fcd02e4071f5

    Content-Type: text/plain; charset="utf-8"

    Content-Transfer-Encoding: quoted-printable

    --200abcefe4cfe5ec5055e34fa8fcd02e4071f5

    Content-Type: text/html; charset="utf-8"

    Content-Transfer-Encoding: quoted-printable

    <HTML><HEAD>

    <META http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">

    </HEAD>

    <BODY bgColor=3D#ffffff>

    <DIV align=3Dleft><FONT size=3D2 face=3DArial><IMG border=3D0 hspace=3D0 =

    alt=3D""=20

    src=3D"cid:168c8dc1eed6af82fb509c605@doscafeteras.es"></FONT></DIV></BODY=

    ></HTML>

    --200abcefe4cfe5ec5055e34fa8fcd02e4071f5--

    --a3a61043489cb320fcf9b00f7ba97140ff24

    Content-Type: image/jpeg; name="njs.jpg"

    Content-Transfer-Encoding: base64

    Content-ID: <168c8dc1eed6af82fb509c605@doscafeteras.es>

    *snip*

    Hinweis: hinter xxxxxxxxxx.de steht die korrekte Domain.


    Weiterleitungen sind seit ca. 2 Tagen deaktiviert.

    Bei den eingehenden Mails steht "X-DvISE-ForwardJob" also eine Weiterleitung?


    Aber wie gesagt, wenn der Postman Dienst beendet ist, werden trotzdem die Spam Mails im Eingangsprotokoll protokolliert und landen im SPAM Ordner.


    POP / IMAP nicht benutzt die entsprechenden Ports werden auch nicht vom Router weitergeleitet.


    Der PostMan Dienst ist doch für die Annahme der Mails zuständig. Hier verabschiedet sich mein Verständnis, das bei deaktivierten PostMan Dienst dennoch Spam im Eingang generiert werden.


    Die Ausgabe im Status Monitor zeigt diese erstellten Mails nicht an?!


    Danke für weitere Hinweise!

    Hallo,


    danke für die Antwort.


    Gestern Nacht waren alle PCs aus, deswegen muss der Server selber die Ursache sein (ich denke nicht das ein FAX / Scanner die Ursache ist?! Oder doch?).


    eingehender Weg:

    Internet -> Spamfilterdienst (im Internet) -> lokale Firewall (Router Port Forwarding) -> W2K12 (Windows Firewall lässt nur Mail IP Range vom Spamfilterdienst rein)


    Danke für weitere Hinweise

    Guten Morgen,


    bei einem System (12.00a - 2712) wurde vor einigen Tagen von POP Abruf auf MX umgestellt.


    Vor zwei Tagen wurden Spamaktivitäten festgestellt. Es wurde umgehend die Weiterleitung entfernt und die Firewall lässt nur Mails vom Provider durch.


    Im Sekundentakt werden Spammail generiert (Eingangsprotokoll) Port Internal (Benutzer: David Archive), diese werden in den Spamordner geschoben.

    In der Nacht wurden ca. 60 Mails innerhalb 3 Minuten mit Betreff "Delivery Status Notification (Delay)" an eine Niederländische E-Mail geschickt.

    Es gab auch einen neuen "dubiosen" Benutzer der sich auch als Generator dieser Spammails zeigte. Diesen Benutzer habe ich gelöscht.


    Folgendes habe ich bereits unternommen / getestet:

    eingehende Ports geschlossen -> die Spammail Mails werden weiter generiert

    Webbox ist deaktiviert -> die Spammail Mails werden weiter generiert


    Selbst nach langem suchen, kann ich das Problem nicht lösen.


    Vielen Dank für Eure Unterstützung!

    Jan