Spam Internal nach Umstellung auf MX

  • Guten Morgen,


    bei einem System (12.00a - 2712) wurde vor einigen Tagen von POP Abruf auf MX umgestellt.


    Vor zwei Tagen wurden Spamaktivitäten festgestellt. Es wurde umgehend die Weiterleitung entfernt und die Firewall lässt nur Mails vom Provider durch.


    Im Sekundentakt werden Spammail generiert (Eingangsprotokoll) Port Internal (Benutzer: David Archive), diese werden in den Spamordner geschoben.

    In der Nacht wurden ca. 60 Mails innerhalb 3 Minuten mit Betreff "Delivery Status Notification (Delay)" an eine Niederländische E-Mail geschickt.

    Es gab auch einen neuen "dubiosen" Benutzer der sich auch als Generator dieser Spammails zeigte. Diesen Benutzer habe ich gelöscht.


    Folgendes habe ich bereits unternommen / getestet:

    eingehende Ports geschlossen -> die Spammail Mails werden weiter generiert

    Webbox ist deaktiviert -> die Spammail Mails werden weiter generiert


    Selbst nach langem suchen, kann ich das Problem nicht lösen.


    Vielen Dank für Eure Unterstützung!

    Jan

  • Hallo,

    erstmal ausgehend alles sperren das nix verschickt wird,

    Sonst landest du mit deinem MX Eintrag schnell in der Blacklist.


    Schau dir doch mal eine dieser Mails an, was steht den da drin?

    Generiert ein PC vielleicht die Mails?

    Und versucht die selbst zu verschicken?


    Ist eine Firewall mit SMTP Proxy davor oder Port Weiterleitung an MailServer?

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos SG210 /Reverse Proxy(WAF) - SMTP Proxy TLS

  • Hallo,


    danke für die Antwort.


    Gestern Nacht waren alle PCs aus, deswegen muss der Server selber die Ursache sein (ich denke nicht das ein FAX / Scanner die Ursache ist?! Oder doch?).


    eingehender Weg:

    Internet -> Spamfilterdienst (im Internet) -> lokale Firewall (Router Port Forwarding) -> W2K12 (Windows Firewall lässt nur Mail IP Range vom Spamfilterdienst rein)


    Danke für weitere Hinweise

  • Was steht den so in einer dieser Ausgehenden Mails drin?

    Header usw. von wo das kommt, absender etc.


    POP/IMAP von Extern möglich? Unsicheres Kennwort für den User ?

    Gibts ein Gerät welches Mails verschicken kann wo der Tobit als Relay fungiert intern?


    Weiterleitungen aktiv ... wie sehen die Einschränkungen aus?

    Ausgabe Status Monitor SMTP Dienst

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos SG210 /Reverse Proxy(WAF) - SMTP Proxy TLS

  • in der ausgehenden Mail steht:

    NOTIFICATION ONLY.

    YOU DO NOT NEED TO RESEND YOUR MESSAGE.


    Delivery of the following message has been delayed.


    To: asperaexp@gmail.com

    Subject: .

    From: curage@apeldoorner.nl

    Sent: Tue, 09 Jul 2019 10:11:37 +0200



    Error on last try: Unknown Error


    Message is still undelivered after 12 hours.

    Trying transmission will be continued until message is 1 day old.


    Automatically generated Delivery Status Notification by DvISE PostMan.


    in den sekündlich erstellten eingehenden Mails steht:

    X-DvISE-ForwardJob: Try count: 1, FirstTry: Wed, 10 Jul 2019 03:10:09 +0200

    Received: from rc-modeli.ru [177.130.156.178] by xxxxxxxxxx.de with David.fx (0408.47454B4A45464A4F5150);

    10 Jul 2019 01:10:03 UT

    Message-ID: <af6c8bd8d3f82d210762d48773b41e14c58de1b6@doscafeteras.es>

    From: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGAINCf0LDQstC70L7QstC4?=

    =?utf-8?B?0Yc=?= <alekseenko@doscafeteras.es>

    To: =?utf-8?B?0JLQuNC60YLQvtGA?= <ngskurort@4duk.ru>

    Subject: =?utf-8?B?0JvQuNGI0YwgMTAlINC/0YDQtdC00L/RgNC40L3QuNC8?=

    =?utf-8?B?0LDRgtC10LvQtdC5INCz0YDQsNC80L7RgtC90L4g0LvQ?=

    =?utf-8?B?uNC60LLQuNC00LjRgNGD0Y7RgiDRgdCy0L7QtSAg0J7Q?=

    =?utf-8?B?ntCeLiAzINGB0L/QvtGB0L7QsdCwLi4=?=

    Date: Wed, 10 Jul 2019 04:08:46 +0300

    MIME-Version: 1.0

    Content-Type: multipart/related; boundary="a3a61043489cb320fcf9b00f7ba97140ff24"

    --a3a61043489cb320fcf9b00f7ba97140ff24

    Content-Type: multipart/alternative; boundary="200abcefe4cfe5ec5055e34fa8fcd02e4071f5"

    --200abcefe4cfe5ec5055e34fa8fcd02e4071f5

    Content-Type: text/plain; charset="utf-8"

    Content-Transfer-Encoding: quoted-printable

    --200abcefe4cfe5ec5055e34fa8fcd02e4071f5

    Content-Type: text/html; charset="utf-8"

    Content-Transfer-Encoding: quoted-printable

    <HTML><HEAD>

    <META http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">

    </HEAD>

    <BODY bgColor=3D#ffffff>

    <DIV align=3Dleft><FONT size=3D2 face=3DArial><IMG border=3D0 hspace=3D0 =

    alt=3D""=20

    src=3D"cid:168c8dc1eed6af82fb509c605@doscafeteras.es"></FONT></DIV></BODY=

    ></HTML>

    --200abcefe4cfe5ec5055e34fa8fcd02e4071f5--

    --a3a61043489cb320fcf9b00f7ba97140ff24

    Content-Type: image/jpeg; name="njs.jpg"

    Content-Transfer-Encoding: base64

    Content-ID: <168c8dc1eed6af82fb509c605@doscafeteras.es>

    *snip*

    Hinweis: hinter xxxxxxxxxx.de steht die korrekte Domain.


    Weiterleitungen sind seit ca. 2 Tagen deaktiviert.


    Bei den eingehenden Mails steht "X-DvISE-ForwardJob" also eine Weiterleitung?


    Aber wie gesagt, wenn der Postman Dienst beendet ist, werden trotzdem die Spam Mails im Eingangsprotokoll protokolliert und landen im SPAM Ordner.


    POP / IMAP nicht benutzt die entsprechenden Ports werden auch nicht vom Router weitergeleitet.


    Der PostMan Dienst ist doch für die Annahme der Mails zuständig. Hier verabschiedet sich mein Verständnis, das bei deaktivierten PostMan Dienst dennoch Spam im Eingang generiert werden.


    Die Ausgabe im Status Monitor zeigt diese erstellten Mails nicht an?!


    Danke für weitere Hinweise!

  • beende mal den Servicelayer und lösche die david.job

    Zusätzlich Apps\Faxware\Out\API und Postman\IN checken, wenn dort hunderte/tausende Elemente liegen dann entfernen.


    Evtl. habt ihr Mist gebaut, den Server kurzzeitig als OpenRelay laufen gehabt und noch ettliche Forward Jobs offen.

  • alles klar :)


    bevor das System aber wieder aktiv ans Netz geht,

    Check Relay Einstellungen, kann die Firewall vielleicht als SMTP Relay arbeiten und vielleicht schon den größten Mist wegfiltern?


    Sagtest Externer Spamfilter.

    Sprich

    MX Eintrag deiner Domain zeigt auf den Spamfilter und der hat einen Eintrag alles zu dir zu Leiten.

    Korrekt?


    Dann Firewall nur so umstellen, das Mails also verb. zu SMTP/25/TCP vom IP Range des Spamfilters angenommen wird.

    Das sollte man dann auch von Extern testen.

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos SG210 /Reverse Proxy(WAF) - SMTP Proxy TLS

  • Du hast den Konstrukt genau erkannt. :thumbup:

    Provider per MX -> Spamfilter -> per MX an Tobitserver (Portforwarding)


    Die lokale Firewall lässt nun nur noch Zugriffe aus dem Netz vom Spamfilter zu. Das ist auch getestet.


    Leider war das vor ein paar Tagen noch nicht so und deswegen, wie Du auch richtig erkannt hast kurzzeitig > Openrelay