Das Notes Forum

Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: D. Maute am 20.04.10 - 13:19:28

Titel: "fremde" IP hat per SMTP Mails verschickt/versucht zu verschicken
Beitrag von: D. Maute am 20.04.10 - 13:19:28

Hallo zusammen,

hatte heute kurzfristig ein Problem. Unser Notes-Server hat ein paar Mails verschickt/verschicken wollen, die nicht von uns kamen (blöd zu erklären). Wir konnten feststellen, dass es von einer IP wohl kommt, die aber gar nicht in unserem Nummernkreis vorkommt.
Kann man irgendwo herauslesen (habe drei solcher Mails aus der mail.box in meine Mail-DB kopiert), welche echte IP dahinter steckt?
Ich vermute mal, dass sich jemand etwas eingefangen hat. Wir haben die zwei verdächtigen fremden IPs in die Blacklist eingetragen, dann war sofort schluss, aber wie finde ich die Kiste?
Die log.nsf habe ich auch noch aufgehoben... Musste den Notes-Server abschießen (2x), nachdem er beim ersten Neustart wieder loslegte. Den Router hatte ich in der notes.ini gestoppt und nach dem Blacklisting wieder gestartet - wie gesagt - momentan alles ruhig, aber ich hätte den "Übeltäter" schon gerne gefunden...

Gruß Dietmar

Titel: Re: "fremde" IP hat per SMTP Mails verschickt
Beitrag von: Ralf_M_Petter am 20.04.10 - 15:01:08

Ich hoffe doch, dass Mailrelaying auf eurem Dominoserver abgeschaltet ist, oder?

Titel: Re: "fremde" IP hat per SMTP Mails verschickt
Beitrag von: D. Maute am 21.04.10 - 13:11:49

Hi,

die Konfiguration ist so, dass kein fremder verschicken kann. Allerdings war die Konsole komplett damit beschäftigt, ein:

SMTP Server [...] Attempt to relay mail from xxx-xx-xx-xx.dynamic.hinet.net... rejected for policy reasons. Relays from host denied in your configuration.

Trotzdem haben die tausende Anfragen den Server ganz schön in die Knie gezwungen.

Also - das Problem ist behoben - durch mehrmaligen Leitungsausfall bei der Telebimm und massiven Synchronisationsproblemen, hatten beide Firewalls beim umkonfigurieren wohl einen leichten Schuss bekommen und überhaupt erst ermöglicht, dass jemand versuchen konnte zu relayen *grrr*.

Kam also definitiv nicht von innen, darum auch die Verwunderung, wo die Netzwerkfremde IP herkommen soll...

Gruß Dietmar

Titel: Re: "fremde" IP hat per SMTP Mails verschickt/versucht zu verschicken
Beitrag von: Ralf_M_Petter am 21.04.10 - 13:23:15

Sorry aber was du schreibst kann einfach nicht stimmen:

Du schreibst:

Zitat von: D. Maute am 21.04.10 - 13:11:49

die Konfiguration ist so, dass kein fremder verschicken kann. Allerdings war die Konsole komplett damit beschäftigt, ein:

SMTP Server [...] Attempt to relay mail from xxx-xx-xx-xx.dynamic.hinet.net... rejected for policy reasons. Relays from host denied in your configuration.

In dem vorgehenden Posting schreibst du jedoch:

Zitat von: D. Maute am 20.04.10 - 13:19:28

Kann man irgendwo herauslesen (habe drei solcher Mails aus der mail.box in meine Mail-DB kopiert), welche echte IP dahinter steckt?

Wenn relaying nicht erlaubt wäre, dann hättest du solche Mails nicht in der mail.box, da Sie vom SMTP Server nicht angenommern werden würden.


Weiters schreibst du, dass das Problem eine Fehlkonfiguration der Firewall war. Das kann nur sein, wenn wir hier von einer Applikationsfirewall sprechen aber nicht von einer Verbindungsfirewall. Eine normale IP Firewall kann Mailrelaying nicht verhindern. Gerade bei Sicherheitsrelevanten Dingen wäre ich sehr vorsichtig von Entwarnung zu sprechen.

Grüße

Ralf