Autor Thema: "fremde" IP hat per SMTP Mails verschickt/versucht zu verschicken  (Gelesen 3497 mal)

Offline D. Maute

  • Senior Mitglied
  • ****
  • Beiträge: 463
  • Geschlecht: Männlich
Hallo zusammen,

hatte heute kurzfristig ein Problem. Unser Notes-Server hat ein paar Mails verschickt/verschicken wollen, die nicht von uns kamen (blöd zu erklären). Wir konnten feststellen, dass es von einer IP wohl kommt, die aber gar nicht in unserem Nummernkreis vorkommt.
Kann man irgendwo herauslesen (habe drei solcher Mails aus der mail.box in meine Mail-DB kopiert), welche echte IP dahinter steckt?
Ich vermute mal, dass sich jemand etwas eingefangen hat. Wir haben die zwei verdächtigen fremden IPs in die Blacklist eingetragen, dann war sofort schluss, aber wie finde ich die Kiste?
Die log.nsf habe ich auch noch aufgehoben... Musste den Notes-Server abschießen (2x), nachdem er beim ersten Neustart wieder loslegte. Den Router hatte ich in der notes.ini gestoppt und nach dem Blacklisting wieder gestartet - wie gesagt - momentan alles ruhig, aber ich hätte den "Übeltäter" schon gerne gefunden...

Gruß Dietmar
« Letzte Änderung: 21.04.10 - 13:13:39 von D. Maute »
1x Server: 8.5.x (engl.) auf MS SRV 2008 R2 unter VMWare
ca. 80 Clients: 8.5.2 (deut.) FP4, 8.5.3 (deut.) FP6 und 9.0.1 (deut.) FP5 SHF106

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: "fremde" IP hat per SMTP Mails verschickt
« Antwort #1 am: 20.04.10 - 15:01:08 »
Ich hoffe doch, dass Mailrelaying auf eurem Dominoserver abgeschaltet ist, oder?
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

Offline D. Maute

  • Senior Mitglied
  • ****
  • Beiträge: 463
  • Geschlecht: Männlich
Re: "fremde" IP hat per SMTP Mails verschickt
« Antwort #2 am: 21.04.10 - 13:11:49 »
Hi,

die Konfiguration ist so, dass kein fremder verschicken kann. Allerdings war die Konsole komplett damit beschäftigt, ein:

SMTP Server [...] Attempt to relay mail from xxx-xx-xx-xx.dynamic.hinet.net... rejected for policy reasons. Relays from host denied in your configuration.

Trotzdem haben die tausende Anfragen den Server ganz schön in die Knie gezwungen.

Also - das Problem ist behoben - durch mehrmaligen Leitungsausfall bei der Telebimm und massiven Synchronisationsproblemen, hatten beide Firewalls beim umkonfigurieren wohl einen leichten Schuss bekommen und überhaupt erst ermöglicht, dass jemand versuchen konnte zu relayen *grrr*.

Kam also definitiv nicht von innen, darum auch die Verwunderung, wo die Netzwerkfremde IP herkommen soll...

Gruß Dietmar
« Letzte Änderung: 21.04.10 - 13:13:25 von D. Maute »
1x Server: 8.5.x (engl.) auf MS SRV 2008 R2 unter VMWare
ca. 80 Clients: 8.5.2 (deut.) FP4, 8.5.3 (deut.) FP6 und 9.0.1 (deut.) FP5 SHF106

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Sorry aber was du schreibst kann einfach nicht stimmen:

Du schreibst:


die Konfiguration ist so, dass kein fremder verschicken kann. Allerdings war die Konsole komplett damit beschäftigt, ein:

SMTP Server [...] Attempt to relay mail from xxx-xx-xx-xx.dynamic.hinet.net... rejected for policy reasons. Relays from host denied in your configuration.

In dem vorgehenden Posting schreibst du jedoch:


Kann man irgendwo herauslesen (habe drei solcher Mails aus der mail.box in meine Mail-DB kopiert), welche echte IP dahinter steckt?

Wenn relaying nicht erlaubt wäre, dann hättest du solche Mails nicht in der mail.box, da Sie vom SMTP Server nicht angenommern werden würden.


Weiters schreibst du, dass das Problem eine Fehlkonfiguration der Firewall war. Das kann nur sein, wenn wir hier von einer Applikationsfirewall sprechen aber nicht von einer Verbindungsfirewall. Eine normale IP Firewall kann Mailrelaying nicht verhindern. Gerade bei Sicherheitsrelevanten Dingen wäre ich sehr vorsichtig von Entwarnung zu sprechen.

Grüße

Ralf
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz