AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
29.05.20 - 15:10:43
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Domino 8 und frühere Versionen
| |-+  ND7: Administration & Userprobleme (Moderatoren: eknori, koehlerbv, m3)
| | |-+  "fremde" IP hat per SMTP Mails verschickt/versucht zu verschicken
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: "fremde" IP hat per SMTP Mails verschickt/versucht zu verschicken  (Gelesen 2318 mal)
D. Maute
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 463



« am: 20.04.10 - 13:19:28 »

Hallo zusammen,

hatte heute kurzfristig ein Problem. Unser Notes-Server hat ein paar Mails verschickt/verschicken wollen, die nicht von uns kamen (blöd zu erklären). Wir konnten feststellen, dass es von einer IP wohl kommt, die aber gar nicht in unserem Nummernkreis vorkommt.
Kann man irgendwo herauslesen (habe drei solcher Mails aus der mail.box in meine Mail-DB kopiert), welche echte IP dahinter steckt?
Ich vermute mal, dass sich jemand etwas eingefangen hat. Wir haben die zwei verdächtigen fremden IPs in die Blacklist eingetragen, dann war sofort schluss, aber wie finde ich die Kiste?
Die log.nsf habe ich auch noch aufgehoben... Musste den Notes-Server abschießen (2x), nachdem er beim ersten Neustart wieder loslegte. Den Router hatte ich in der notes.ini gestoppt und nach dem Blacklisting wieder gestartet - wie gesagt - momentan alles ruhig, aber ich hätte den "Übeltäter" schon gerne gefunden...

Gruß Dietmar
« Letzte Änderung: 21.04.10 - 13:13:39 von D. Maute » Gespeichert

1x Server: 8.5.x (engl.) auf MS SRV 2008 R2 unter VMWare
ca. 80 Clients: 8.5.2 (deut.) FP4, 8.5.3 (deut.) FP6 und 9.0.1 (deut.) FP5 SHF106
Ralf_M_Petter
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1879


Jeder ist seines eigenen Glückes Schmied


WWW
« Antworten #1 am: 20.04.10 - 15:01:08 »

Ich hoffe doch, dass Mailrelaying auf eurem Dominoserver abgeschaltet ist, oder?
Gespeichert

Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.
D. Maute
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 463



« Antworten #2 am: 21.04.10 - 13:11:49 »

Hi,

die Konfiguration ist so, dass kein fremder verschicken kann. Allerdings war die Konsole komplett damit beschäftigt, ein:

SMTP Server [...] Attempt to relay mail from xxx-xx-xx-xx.dynamic.hinet.net... rejected for policy reasons. Relays from host denied in your configuration.

Trotzdem haben die tausende Anfragen den Server ganz schön in die Knie gezwungen.

Also - das Problem ist behoben - durch mehrmaligen Leitungsausfall bei der Telebimm und massiven Synchronisationsproblemen, hatten beide Firewalls beim umkonfigurieren wohl einen leichten Schuss bekommen und überhaupt erst ermöglicht, dass jemand versuchen konnte zu relayen *grrr*.

Kam also definitiv nicht von innen, darum auch die Verwunderung, wo die Netzwerkfremde IP herkommen soll...

Gruß Dietmar
« Letzte Änderung: 21.04.10 - 13:13:25 von D. Maute » Gespeichert

1x Server: 8.5.x (engl.) auf MS SRV 2008 R2 unter VMWare
ca. 80 Clients: 8.5.2 (deut.) FP4, 8.5.3 (deut.) FP6 und 9.0.1 (deut.) FP5 SHF106
Ralf_M_Petter
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1879


Jeder ist seines eigenen Glückes Schmied


WWW
« Antworten #3 am: 21.04.10 - 13:23:15 »

Sorry aber was du schreibst kann einfach nicht stimmen:

Du schreibst:


die Konfiguration ist so, dass kein fremder verschicken kann. Allerdings war die Konsole komplett damit beschäftigt, ein:

SMTP Server [...] Attempt to relay mail from xxx-xx-xx-xx.dynamic.hinet.net... rejected for policy reasons. Relays from host denied in your configuration.

In dem vorgehenden Posting schreibst du jedoch:


Kann man irgendwo herauslesen (habe drei solcher Mails aus der mail.box in meine Mail-DB kopiert), welche echte IP dahinter steckt?

Wenn relaying nicht erlaubt wäre, dann hättest du solche Mails nicht in der mail.box, da Sie vom SMTP Server nicht angenommern werden würden.


Weiters schreibst du, dass das Problem eine Fehlkonfiguration der Firewall war. Das kann nur sein, wenn wir hier von einer Applikationsfirewall sprechen aber nicht von einer Verbindungsfirewall. Eine normale IP Firewall kann Mailrelaying nicht verhindern. Gerade bei Sicherheitsrelevanten Dingen wäre ich sehr vorsichtig von Entwarnung zu sprechen.

Grüße

Ralf
Gespeichert

Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: