Notifications
Clear all

Fehlermeldung im Ereignisprotokoll und verdächtige Einträge im Messagetrackinglog  

  RSS

(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
3. April 2020 10:04  

Guten Tag die Damen und Herren,

ich bin momentan auf der suche nach Fehlern an ein einem Exchange 2016 CU13 weil dieser immer wieder geblacklistet wird von einer bestimmten blackliste. Leider will der Blacklistenanbieter (www.abuseat.org) nicht antworten warum wir da immer landen also los geht die suche im Heuhaufen.

Neben den üblichen Sachen wie fehlenden DMARC, DKIM und SPF sind mir auch zwei andere Sachen aufgefallen: im Ereignisprotokoll tritt eine Fehlermeldung regelmäßig auf und ich finde leider keinen zweiten Fall von dieser Meldung im Netz.

EreignisID 1032 Quelle MSExchangeRPC "The Microsoft Exchange RPC service manager can't be started because the interface is already registered by another process."

Kann mir jemand erläutern was diese Meldung bedeutet?

Des weiterem habe ich im Messagetrackinglog gesucht nach eventuellen internen Spammern und dabei ist mir aufgefallen das eine Handvoll Mails gibt die Eventid SENDEXTERNAL Source SMTP haben und deren Absenderadresse keine der internen Mailadressen  sind aber deren Returnpath eine Interne Adresse besitzt. Bin ich da richtig in der Annahme das dort E-Mails von einem internen PC über das Konto eines Domainusers in mit einem anderen Namen Spam gesendet wird?

Ich habe diesen Befehl benutzt:

Get-MessageTrackingLog -Start (Get-Date).Adddays(-1) -ResultSize unlimited -eventid sendexternal| Where-Object {$_.sender -notlike "*@<interneDomain>.*" -and $_.sender -notlike "*@<andere interne domain>"} |ft timestamp,sender,returnpath,recipients,messagesubject


Zitat
(@maboh)
Trusted Member
Beigetreten: 4 Monaten zuvor
Beiträge: 65
8. April 2020 23:38  

Da hätte ich 2 Fragen:

 

1. Ist dein Exchange eventuell ein offenes Relay? Testen von einer externen IP Adresse: telnet auf die öffentliche IP deines Exchanges (hoffentlich ne Firewall) Port 25 und dann versuchen per Kommandozeile eine Mail zu versenden (jede Zeile mit Return abschliessen):

helo me

mail from: <weihnachtsmann@nordpol.de>

rcpt to: <deine@email.adresse>

data (Wenn du bis hierhin kommst: herzlichen Glückwunsch, du hast ein offenes Relay konfiguriert, normalerweise solltest du beim Kommando davor schon ein Relaying denied bekommen.

subject: Test open Relay

test

. (Der Punkt gehört dazu, danach bekommst du dann eine Message queued for delivery Meldung)

2. Hast du die Empfängerfilterung aktiviert? Damit werden Mails schon auf SMTP Ebene abgelehnt, die an nicht existierende Empfänger in deiner Domain gehen. Stichwort hier ist "Backscattering". Der Exchange wird sonst jede Mail annehmen und danach erst einen NDA generieren. Wenn ein Spammer deine Domain mit 100k Mails flutet, die an nicht existierende Empfänger gehen, wird dein Mailserver also für jede davon brav eine Antwortmail versenden - meistens an ebenfalls nicht existierende Spammmail Adressen. Die Empfängerfilterung kann das verhindern, weil der Exchange dann Mails bereits nach dem RCPT TO: mit einem User does not exist ablehnt.

Gruss,

M.

 


AntwortZitat
(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
9. April 2020 09:01  

@maboh Hallo zum ersten Punkt: Ich habe per MXToolbox auf ein offenes Relay getestet und es wurde mir angezeigt das es keines gibt.

Zum zweiten Punkt: Tatsächlich hatten wir vor einiger Zeit mal den Fall gehabt bei diesem Kunden das Unzählige SPAMs auf den Server eingeprasselt sind die alle mit NDRs beantwortet wurden, woraufhin ich die Empfängerfilterung aktiviert hatte und eine Firewall mit SPAM-Filterungsfunktion vor den Exchange installiert wurde. Dabei handelt es sich um eine UTM von Securepoint.

Für mich sieht es aus als würden zwei oder drei PCs Mails über Userkonten Mails versenden unter einem anderen Namen. Ich wollte nur sicher gehen das ich das Protokoll richtig lese und keinen Falschen Alarm gebe. Das Volumen der verdächtigen E-Mails ist jetzt auch nicht gigantisch, innerhalb einer Woche wurden zirka 30 Mails an Extern gesendet bei der der Absender einen andere Adresse hat als der Returnpath. Möglicherweise haben sich ein oder zwei Mitarbeiter Software heruntergeladen die heimlich über ihr Outlook Mails senden.

MfG

Stefan


AntwortZitat
(@maboh)
Trusted Member
Beigetreten: 4 Monaten zuvor
Beiträge: 65
9. April 2020 14:00  

Hi Stefan,

besorg dir doch mal Franks MessageTrackingGUI, damit kannst du die Transportprotokolle durchsuchen und die Ergebnisse auch lesbar ausgeben lassen. Du solltest diese Mails dann auch finden können, dazu von welchem Client (IP) und auf welchem Connector diese auflaufen. Eventuell kommst du der Sache so auf die Spur.

Gruss,

M.


AntwortZitat
(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
22. April 2020 11:41  

Hallo,

 

ich wollte mal ein Update zu dieser Problematik geben. Aufgrund der Covidkriese ist der Admin welcher die PCs beim Kunden verwaltet in Kurzarbeit und selten erreichbar. Ich habe aufgrund dessen den kompletten E-Mailverkehr (rein wie raus) über eine UTM bzw. einen Spamfilter geleitet um alle möglichen Spammer zu eliminieren. Genauso darf nur die IP des Exchange Mails senden. Dennoch landen wir immer wieder bei SPAMHOUSE auf einer ihrer IP Blacklisten. Es ist zum verzweifeln. Ich finde keine Kontaktadressen bei den man sich erkundigen könnte was das Problem ist. Habt ihr Erfahrungen mit Spamhouse?

Gruß Stefan


AntwortZitat
(@maboh)
Trusted Member
Beigetreten: 4 Monaten zuvor
Beiträge: 65
22. April 2020 16:11  

Ihr seid doch sicher bei einem Internetprovider. Hat der kein Mailrelay, das ihr nutzen könnt?

Ansonsten musste wohl mal durch die Empfehlungen gehen:

https://blog.mailchannels.com/why-was-my-ip-address-blacklisted-spamhaus

https://bobcares.com/blog/spamhaus-blocking-outgoing-mail/

https://www.spamhaus.org/faq/section/Generic%20Questions


AntwortZitat
Monthy
(@monthy)
Trusted Member
Beigetreten: 9 Monaten zuvor
Beiträge: 76
29. April 2020 10:41  

Hi,

 

ist es vielleicht sowas banales wie das Versenden von Newslettern ohne passende Drosselung? Auch hier landet man schnell auf Blacklists, wenn zuviele Mails in einem bestimmten Zeitraum versendet werden. Daher ggf ein Newslettertool dafür verwenden. Dieses kümmert sich um die Versendung in passenden Häppchen. Oder ihr sendet mit einem separaten Smarthost über euren Provider raus und der kümmert sich um die Versendung. 

 

Gruß,

Monthy

Ich komme aus einer Zeit, in der aus einer Cloud noch Regen kam!


AntwortZitat
(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
29. April 2020 14:13  

@maboh @monthy Es handelt sich hier um einen Mailserver mit etwas mehr als 300 Postfächern mit Usern aus verschiedenen Ländern und mit Smarthost haben wir immer wieder Probleme gehabt.

Sollte tatsächlich einer einer von den Massenmails schicken wird es schwierig herauszufinden aber da muss man durch. In wie fern können SPF DKIM und DMARK ein Problem darstellen wenn es um Spamlisten geht? In sich gibt es nur einen Mailserver bei diesem Kunden aber es gibt eine domainnamensgleiche Website, meines Wissens nach macht SPF erst sinn wenn es mehrere Server gibt die Senden können. DKIM und DMARC haben wir bisher bei keinem Kunden eingerichtet, dennoch sehe ich das bei jedem mx testr den es gibt das diese beiden Einträge geprüft werden. Leider habe ich noch immer keinen Zugriff auf den öffentlichen DNS hoster um das zu ändern aber wenn ich besser Argumente hätte könnte ich vielleicht mehr erreichen.

 

Gruß Stefan


AntwortZitat
Monthy
(@monthy)
Trusted Member
Beigetreten: 9 Monaten zuvor
Beiträge: 76
29. April 2020 14:32  

Hi Stefan,

 

die Frage ist doch, wer da raussendet. NUR der Exchange oder auch andere Systeme eigenständig? Daher die Messagtetrackinglogs bemühen oder mit der Tracking GUI von Frank arbeiten oder mit dem Exchange Reporter von Frank eine Auswertung fahren, wer da ggf soviel raussendet. Wenn du natürlich auch am Exchange vorbei raussenden darfst bzw andere Systeme, dann müssest du bereits auf der Sophos schauen, von wem die Connections aus dem internen Bereich kommen. Die schickere Lösung wäre aber, das nur der Exchange raussenden darf und andere System die Mails dort abgeben müssen. So hast du zentral eine Stelle, wo du auswerten kannst.

 

RDNS für die ausgehende (feste) IP habt ihr eingerichtet und auch einen Static MX Record und keinen auf einen Alias (CNAME)? Das wird mittlerweile nicht mehr unterstützt von vielen Providern und auch so landet man ggf auf Blacklists.

 

 

Gruß,

Monthy

Ich komme aus einer Zeit, in der aus einer Cloud noch Regen kam!


AntwortZitat
(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
29. April 2020 16:33  

@monthy Es gibt eine statische IP mit MX und wir benutzen eine UTM von Securepoint was im Grunde das gleiche Produkt ist wie eine Sophos (war nicht meine Entscheidung ob Sophos oder Securepoint) Die UTM lässt nur Mails von einer IP zu und Scannt sie auch nach Spam. Arbeitet sozusagen als Relay. Die Tracking GUI hat mir nicht weiter geholfen da ich ja nicht nach einer bestimmten Mail suche. Den Exchange Reporter kenne ich noch nicht und werde ich mir bei Gelegenheit ansehen. Im Grunde genommen muss ich einmal eine Statistik erstellen wer wie viele Mails am Tag versendet und bei denen die viel mehr senden als nadere nachbohren. Die Schwierigkeit die ich dabei habe ist es korrekt zu filtern sprich alle Mails nach extern. Es gibt verschiedene akzeptierte interne Domains wie Domain.uk domain.de domain .it  und viele Mitarbeiter setzen oft internen und externe Empfänger in eine Mail. Wenn ich dann filter nach $_.recipients -notlike "*domain.it" -and $_.recipients -notlike "*domain.de" ...etc dann bekomme ich keine eindeutigen Ergebnisse da eben alle Empfänger gemischt sind in den Mails und Mails die tatsächlich nach extern gingen raus gefiltert werden weil interne Empfänger mit darunter sind.

 

Theoretisch dürften doch Mails von intern nach intern nicht über den Sendeconnctor gehen da er diese selbständig seinen eigenen Postfächern zuordnet oder? Dann müsste er doch beim routing die Mail aufteilen in die intern zuzustellenden und die nach extern gehen. An der Stelle müsste es doch eine Filtermöglichkeit geben.

Gruß Stefan


AntwortZitat
(@maboh)
Trusted Member
Beigetreten: 4 Monaten zuvor
Beiträge: 65
6. Mai 2020 16:25  

Du kannst doch nach Connector ID filtern? Entscheidend ist nur was dein Sendconnector zum Relay schickt. Alle anderen Connectoren sind irrelevant.


AntwortZitat
(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
7. Mai 2020 13:15  

@maboh Danke!!! das ist genau der Tipp den ich gebraucht habe. Jetzt da ich alle Mails habe die nach draußen gehen kann ich alle Antworten wie AW: etc rausfiltern und so zumindest Mails finden deren Betreff auffällig ist. Wir sind auch inzwischen soweit davon auszugehen das einen PC geben muss der verseucht ist und eigenständig mails sendet welche nicht über die Spamfilterung hinweg geht oder so unscheinbare Mails sendet welche vom Filter nicht erfasst werden.

Das würde zumindest in das Fehlerbild passen weil wir inzwischen nur alle paar Tage oder 1-2 Wochen geblockt werden, wenn dieser infizierte Laptop zum Beispiel nur sporadisch genutzt wird könnte dieser immer wieder unter den Radar fallen. Wir benutzen zwar einen Zentral gesteuerte Antivirensoftware aber diese Notebooks sind schwierig zu managen weil die einfach zu lange offline sind und sich nicht updaten. An diese Geräte persönlich ran zu kommen ist auch unmöglich weil die immer Extern unterwegs sind oder mal 5 Wochen im Urlaub etc.

Wir scannen jetzt Port 587 465 und 25 auf dem Spamfilter mit Ausschluss des Ex Servers in den nächsten 14 Tagen um eventuelle Querschläger zu finden und ich werde das Messagetrackinglog genauer Filtern wenn ich mehr Zeit habe.

Gruß Stefan


AntwortZitat
(@stefan-eppendorf)
Eminent Member
Beigetreten: 9 Monaten zuvor
Beiträge: 31
20. Mai 2020 15:53  

Guten Tag,

ich wollte noch einmal eine Rückmeldung zu meinem SPAM Problem geben. Der Portscan hat ergeben das ein Steuergerät eigenständig Mails versendet hat und dieses Gerät muss wohl noch auf XP basis arbeiten. Nach dem ich Port 25, 465 und 587 für alle IP Adressen außer die vom Exchange gesperrt habe gab es keine Spamlistung mehr.

Vielen Dank für eure Tipps.

Gruß Stefan


AntwortZitat
Share: