Missbräuchliche Nutzung Ihres DSL-Business Anschlusses

  • Hallo

    Heute erhielten wir ein Schreiben von der Telekom mit o.g. Inhalt.
    Ich habe daraufhin sofort das Ausgangsprotokoll kontrolliert und habe festgestellt dass seit einigen Tagen (genau seit 02.08.) immer gegen 3Uhr vom David Mails verschickt werden. Allerdings nicht jeden Tag, manchmal 3 Tage nix, dann auch mal 3-4 Mails.
    Die Mails haben als Absender "Postmaster@", die Einträge verweisen auf David\Code\Temp\Unterverzeichnis, allerdings ist da nix mehr zu finden.

    Kann mir da jemand helfen?

    THX
    flic

    PS: Habe bereits AVIRA Pro und Kaspersky drüberlaufen lassen, keine Meldung.

  • Lösungsansätze:
    1) Deaktivieren Sie bitte bei Ihren SMTP-Einstellungen alle Weiterleitungen.
    2) Löschen bitte bei Postman / Datenbanken / Gültige Domain Namen alle Zeilen außer die von Ihnen benutzten Domains. Es sollte auch keine Zeile mit leerem Domain-Namen geben.
    3) Richten Sie für die eMail-Adressen bei T-COM oder T-Online ein Passwort ein.
    4) Prüfen Sie alle (!) Rechner des Netzwerks mit einem Tool wie Norman Malwarecleaner. Es ist nicht immer der Server, von dem aus Viren oder Trojaner weitergeleitet werden. Manchmal ist auch ein Client mit einem Trojaner infiziert, der über eine eigene SMTP-Engine verfügt.
    5) Aktivieren Sie die MIS (Spamschutz) auch für ausgehende Nachrichten.

  • Arno

    Vielen Dank für den Tipp. Bei Postman / Datenbanken / Gültige Domain Namen war tatsächlich eine Leerzeile vor den gültigen Domain-Namen.
    Die Mailadressen werden definitiv mit PW abgefragt.
    Die andere Punkte werde ich Schritt für Schritt abarbeiten. Vielleicht war es das auch schon (Hoffnung). Das ist ein echt krasses Problem.

    Gruß flic

  • Hallo,

    bitte auch überprüfen, ob die Webbox von David nach Eingabe der Server URL ohne Usernamen die standardmäßige Musterwebseite anzeigt.
    Es ist bekannt, das die darin enthaltenen Kontaktformulare eine Sicherheitslücke beinhalten, über die von außen Spam versendet werden konnte.
    In der aktuellen Versionen ist das Anzeigen der Webseite daher unterbunden. Statt dessen wird direkt der Loginname abgefragt.

    Kommt die Musterwebseite, bitte unbedingt die Kontaktformulare in allen installierten Sprachen entfernen.
    In aktuellen Versionen (ich weiß nicht genau seit wann, ob schon fx12 oder erst seit der SiteCare Version) in der 'webbox.ini' dem Parameter

    ForceWebAccess = FALSE

    auf TRUE setzen. Damit ist die (häufig nicht genutzte) Webseite abgeschaltet, und nur noch der Zugriff auf die User Konten möglich.

    Hier ein Link auf den alten Thread in dem die Sicherheitslücke diskutiert wird: Link

    Viel Erfolg
    Jens Osterwohldt

    Spezialist bei David Problemen, oder bei der Migration zu Kerio Connect (ebenfalls von AVM KEN! 4).

    Einmal editiert, zuletzt von Jens Osterwohldt (12. August 2013 um 23:08)

  • Sind das ggf. Message Tracking Nachrichten, die dem Absender mitteilen, dass die Nachricht gelöscht/bereinigt wurde?
    Im Standard läuft gegen 3 Uhr ja die Bereinigung.
    Weil das nervt haben wir Message Tracking im Standard deaktiviert und machen es nur bei Bedarf an.

    ***********************************************************************************************
    david.fx - 600 User - Windows Server 2008 R2 - 800 GB SAN - VMWare ESxi 5.5
    ***********************************************************************************************

  • Sind das ggf. Message Tracking Nachrichten, die dem Absender mitteilen, dass die Nachricht gelöscht/bereinigt wurde?


    Das ist natürlich möglich.
    Insbesondere dann, wenn das Message Tracking nicht sauber in dieser Installation läuft.
    Gründe können mehrfache Domains sein oder unvollständig eingerichtete Adresse für den Postman.

    Die ausgehenden Statusnachrichten werden normalerweise nicht im Ausgangsprotokoll gelistet.

    Maßnahme: Testweise einfach mal das Tracking abschalten und checken, wie sie der Ausgang eggen 3:00 Uhr verhält.

    Nicht vergessen: So ein Schreiben von der Telekom geht meistens raus, wenn über den Anschluss Viren oder Spams verteilt wurden.
    Und das erforderlich gründliches Checken des Servers und der Clients und hat nicht mit dem Tracking zu tun.

    Einmal editiert, zuletzt von Arno (14. August 2013 um 21:56)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!