Autor Thema: Was ist da los? (Virus/Trojaner...?)  (Gelesen 9610 mal)

Offline typeOneg

  • Aktives Mitglied
  • ***
  • Beiträge: 204
  • Geschlecht: Männlich
    • My Band
Was ist da los? (Virus/Trojaner...?)
« am: 02.05.07 - 09:40:38 »
hi,

eine frage, zu einem thema das ich irgendwie nicht kapiere. es kommt immer wieder vor (in letzter zeit wieder öfter), dass mails von fiktiven externen adressen bei uns ankommen und sofort wieder eine mail generieren, die dann zB als blindkopie an einen unserer user geschickt werden (siehe screenshots aus einer mail.box).

wie kann es sowas geben? haben wir uns da was eingfangen oder ist auf domino-seite etwas nicht richtig konfiguriert? irgendwie komm' ich nicht d'rauf, wie sowas möglich ist.

bin dankbar für jeden tipp.

lg
hans
==============
~ 13 Domino-Server (9.0.1)
~ ca. 1.400 Notes-Clients (8.5.3 FP4)
~ ca. 600 Traveler Devices (iOS & Android)
~ dzt. 40 IBM-Connections-User
==============

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #1 am: 02.05.07 - 09:43:54 »
Sieht für mich aus als wenn die Mail zurück die normale Fehlermeldung ist "User unknown"
Wo steht einer euerer User im Blindkopie feld? das sieht man nicht.

Offline typeOneg

  • Aktives Mitglied
  • ***
  • Beiträge: 204
  • Geschlecht: Männlich
    • My Band
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #2 am: 02.05.07 - 10:05:34 »
ja, die fehlermeldung ist schon normal. nur, wie kann es sein, dass absender und emfpänger gleich sind? also zB dass webmaster@gmx.at an webmaster@gmx.at sendet und der "intended receipient" eine interne adrese bei uns ist?

irgendwie kapiere ich das prinzip oder den ablauf dahinter nicht so ganz.

==============
~ 13 Domino-Server (9.0.1)
~ ca. 1.400 Notes-Clients (8.5.3 FP4)
~ ca. 600 Traveler Devices (iOS & Android)
~ dzt. 40 IBM-Connections-User
==============

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #3 am: 02.05.07 - 10:14:15 »
Die beiden Mails haben nichts miteinander zu tun, so wie ich das sehe.

Es wurde versucht zer@pappas.at eine Mail zuschicken. Gibts nicht, folglich erhält Webmaster@gmx.de einen Fehler, mit User unknow. Die Message war nicht dead sondern Pending (also wird grade gesendet).

Die andere Nachricht, die mit admin@micorsoft.com ist wohl dead, weil sie u oft hin und her geschickt wurde. Server von Microsoft bekommt Meldung user Admin hat mail geschickt, Admin gibts nicht Fehlermeldung an Domino Server zurück (selbe Mail), Domino kennt aber immer noch nicht den eigentlichen Absender und die Mail geht mit User Unknow zurück an den Microsoft Server, nach einigem hin und her wird die Mail für dead erklärt.

Ich seh da kein Problem.

MFG Michael

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #4 am: 02.05.07 - 10:18:45 »
Meiner Meinung nach hilft nur, den Domino so einzustellen, dass er Mail für nicht existierende Empfänger nicht annimmt, sonst wird der Domino selber zum Spammer weil er an die "gefakte" Absenderadresse zurückschreiben will.

Das ist ja auch das (eigentliche) Ziel vieler Spammer, den gefakten Absender zu belästigen. Das schlimmste was in so einem Fall passieren kann, ist das der Domino auch noch auf eine Blacklist landet weil er so viele Spams "zurückschickt".
« Letzte Änderung: 02.05.07 - 10:22:59 von WernerMo »
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline typeOneg

  • Aktives Mitglied
  • ***
  • Beiträge: 204
  • Geschlecht: Männlich
    • My Band
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #5 am: 02.05.07 - 11:48:06 »
Meiner Meinung nach hilft nur, den Domino so einzustellen, dass er Mail für nicht existierende Empfänger nicht annimmt, sonst wird der Domino selber zum Spammer weil er an die "gefakte" Absenderadresse zurückschreiben will.

Das ist ja auch das (eigentliche) Ziel vieler Spammer, den gefakten Absender zu belästigen. Das schlimmste was in so einem Fall passieren kann, ist das der Domino auch noch auf eine Blacklist landet weil er so viele Spams "zurückschickt".

werden bei einer solchen prüfung auch mails an allgemeine adressen (zb "info@....") zugelassen? für solche empfänger gibt es ja keinen eintrag im domino-directory sondern nur einen zusätzlichen eintrag bei bestehenden benutzern.
==============
~ 13 Domino-Server (9.0.1)
~ ca. 1.400 Notes-Clients (8.5.3 FP4)
~ ca. 600 Traveler Devices (iOS & Android)
~ dzt. 40 IBM-Connections-User
==============

Offline koehlerbv

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #6 am: 02.05.07 - 11:50:07 »
Das ist dann eine gültige Adresse.
Alle Adressen, die Du in der Ansicht "($Users)" im Domino Directory findest, werden akzeptiert.

Bernhard

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #7 am: 02.05.07 - 13:26:17 »
Noch ein Tipp:

Durch die "indirekten" Spams ist Dein/Euer Domino vermutlich schon in der Blacklist nach oben gerutscht, die von vielen großen Firmen verwendet wird:

http://bsn.borderware.com

Dort kannst Du auch selber nachsehen (mit der externen IP des Mailservers) und gegebenenfalls auch einen "claer my history" anstoßen.

Viel Erfolg.
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline Christopher

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.060
  • Geschlecht: Männlich
  • Dumm ist der, der dummes tut.
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #8 am: 02.05.07 - 13:42:25 »
Welche DOMINO Version hat das SMTP Gateway?
Client & Server R 5.011
Principal Certified Lotus Professional R5 System Administration
Microsoft Certified Systems Engineer 2000
Microsoft Certified Systems Administrator 2000
Microsoft Certified Systems Administrator 2003
Microsoft Certified Systems Engineer 2003

Offline Christopher

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.060
  • Geschlecht: Männlich
  • Dumm ist der, der dummes tut.
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #9 am: 02.05.07 - 13:48:46 »
sieh Dir mal den Artikel an.

http://www-128.ibm.com/developerworks/lotus/library/spam-smtp2/index.html

SMTPDenyNotUniqueRCPT=value
This variable requires that you have the option "Verify that local domain recipient exist in the Domino Directory" enabled. If you set this variable to 1, the SMTP task will not except any recipient name that is not unique. The default is 0.

Client & Server R 5.011
Principal Certified Lotus Professional R5 System Administration
Microsoft Certified Systems Engineer 2000
Microsoft Certified Systems Administrator 2000
Microsoft Certified Systems Administrator 2003
Microsoft Certified Systems Engineer 2003

Offline typeOneg

  • Aktives Mitglied
  • ***
  • Beiträge: 204
  • Geschlecht: Männlich
    • My Band
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #10 am: 02.05.07 - 13:52:34 »
Welche DOMINO Version hat das SMTP Gateway?

7.0.2 FP1
==============
~ 13 Domino-Server (9.0.1)
~ ca. 1.400 Notes-Clients (8.5.3 FP4)
~ ca. 600 Traveler Devices (iOS & Android)
~ dzt. 40 IBM-Connections-User
==============

Offline Christopher

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.060
  • Geschlecht: Männlich
  • Dumm ist der, der dummes tut.
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #11 am: 02.05.07 - 14:10:16 »
Ok dann setz mal den Parameter über die notes.ini oder das Konfigurationsdokument
SMTPDenyNotUniqueRCPT=1

Aber ich habe trotz diesen Parameters teilweise auch dead mail die der domino server annimmt. Weiß auch nicht wie die Spammer das hinbekommen .
Client & Server R 5.011
Principal Certified Lotus Professional R5 System Administration
Microsoft Certified Systems Engineer 2000
Microsoft Certified Systems Administrator 2000
Microsoft Certified Systems Administrator 2003
Microsoft Certified Systems Engineer 2003

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #12 am: 02.05.07 - 14:33:33 »
@typeOneg
Stell diese Einstellung baldmöglichst um - und prüfe auch mal deine Bewertung wie oben beschrieben.

@Christopher
diese dead mail (keiner weis wie die reingekommen sind) kennt glaube ich jeder und hat auch jeder, aber das ist ein minimaler Bruchteil der Mails die ganz oben beschrieben sind und laut Empfehlung von IBM seit 2004 auch verhindert werden sollen. (Gemeinhin werden diese " NDR mail" auch als "backscatter spam" bezeichnet/verstanden)
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline Christopher

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.060
  • Geschlecht: Männlich
  • Dumm ist der, der dummes tut.
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #13 am: 02.05.07 - 14:46:12 »
ok man lernt nie aus und die spammer lassen sich immer wieder neue sch... einfallen.
Gut erklärt ist es hier:
http://www.msexchangefaq.de/spam/ndrspamming.htm
Client & Server R 5.011
Principal Certified Lotus Professional R5 System Administration
Microsoft Certified Systems Engineer 2000
Microsoft Certified Systems Administrator 2000
Microsoft Certified Systems Administrator 2003
Microsoft Certified Systems Engineer 2003

Offline typeOneg

  • Aktives Mitglied
  • ***
  • Beiträge: 204
  • Geschlecht: Männlich
    • My Band
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #14 am: 02.05.07 - 15:16:14 »
@typeOneg
Stell diese Einstellung baldmöglichst um - und prüfe auch mal deine Bewertung wie oben beschrieben.

@Christopher
diese dead mail (keiner weis wie die reingekommen sind) kennt glaube ich jeder und hat auch jeder, aber das ist ein minimaler Bruchteil der Mails die ganz oben beschrieben sind und laut Empfehlung von IBM seit 2004 auch verhindert werden sollen. (Gemeinhin werden diese " NDR mail" auch als "backscatter spam" bezeichnet/verstanden)

gut. die prüfung werd' ich jetzt mal einschalten.
==============
~ 13 Domino-Server (9.0.1)
~ ca. 1.400 Notes-Clients (8.5.3 FP4)
~ ca. 600 Traveler Devices (iOS & Android)
~ dzt. 40 IBM-Connections-User
==============

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #15 am: 02.05.07 - 15:49:25 »
Aber ich versteh nicht ganz den Sinn dieser Art Spam. *kopfkratz*
Spammer wollen doch Werbung machen, Viren etc verbreiten, Server finden über die Sie spammen können, neue Empfänger finden.

2 Server zumüllen, damit einer der Server als Spamserver identifiziert wird, ist doch sinnlos oder? Der Aufwand ist bestimmt auch beträchtlich, da der oben genannte Server auch nicht in einer Blackliste geführt ist.
Zumal könnte Firma 1, Firma 2 sagen was müllst du mich zu. Firma 2 sagt dann der scheiss kam von deinem Server.  Rechtfertigt noch keinen BL Eintrag oder?

MFG Michael

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #16 am: 02.05.07 - 15:55:48 »
Sind das immer Spammer oder werden hier einfach Zombies eingesetzt um Server zu behindern / lahm zu legen?
Anfang der Woche hat jemand in diesem Forum geschrieben, dass bei Ihm über 4 Mio e-Mail täglich reinkommen.

Aber auch wir hatten schon Adressbuch-Angriffe, die mehr als 50tsd e-Mails pro Stunde zustellen wollten.

Und der Nebeneffekt der NDR bzw. Backscatter belästigt ja auch noch die "gefakten" Adressen zusätzlich - wenn das kein Effekt ist. (Wenn man so was mag)  :)
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #17 am: 02.05.07 - 16:01:12 »
Ok das mit dem lahmlegen, verbrauch von Ressis ist klar.

Aber rechtfertigt das einen BL Eintrag?
Beispiel:
Firma 1 könnte zu Firma 2 sagen was müllst du mich zu. Firma 2, sagt dann der scheiss kam von deinem Server oder? 

Ich gehe mal davon aus die meisten Server haben eine DNS aktivierte Prüfung, Spam Prüfung, so das nur wenige dieser Mails durchkommen.

MFG Michael

Offline typeOneg

  • Aktives Mitglied
  • ***
  • Beiträge: 204
  • Geschlecht: Männlich
    • My Band
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #18 am: 02.05.07 - 16:05:00 »
wir hatten bei unseren spamfiltern (aladdin eSafe) auch lange die blacklist prüfung eingeschaltet. seit ein paar monaten haben wir's aber gelassen, da immer wieder firmen, mit den wir zu tun hatten, auf diesen blacklists landeten. und bis man dann immer bewiesen hat, dass unsere mailserver die mails schon annehmen würden, wenn da nicht ein eintrag in einer bl wäre, ist einfach mühsam.

deshalb gibt's bei uns jetzt keine blacklist prüfung mehr.
==============
~ 13 Domino-Server (9.0.1)
~ ca. 1.400 Notes-Clients (8.5.3 FP4)
~ ca. 600 Traveler Devices (iOS & Android)
~ dzt. 40 IBM-Connections-User
==============

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Was ist da los? (Virus/Trojaner...?)
« Antwort #19 am: 02.05.07 - 16:08:44 »
Ehm du hast doch eine Whiteliste ;). Nur mal so ein Tipp :D.
Lieber etwas Whitelisten pflegen, als 1000 von Spams zu bekommen?

Ich habe mir z.B aus einem öffentlichen Adressbuch unseres Dominos eine Ansicht mit nur E-Mail Adressen gemacht, diese exportiert, etwas bearbeitet und die E-Mails in die Whiteliste aufgenommen ;).
« Letzte Änderung: 02.05.07 - 16:11:21 von michael-r »

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz