Hallo,
Habe heute in meinem TIC folgendes im Ausgang gehabt.
25 Apr 2007 05:37:25 UT
Date: Wed Apr 25 14:39:11 PDT 2007
From: "Roberto Sanchez" <atmpXXlt@dslb-088-065-189-019.pools.arcor-ip.net>
To: "clarissa thomas" <rexm5hjz@gmail.com>
Subject: SM:88.65.189.19
This works.
Hat da jemmand versucht ein Rundmail zu verschicken.
Ich hoffe David ist sicher. Hat jemmand so etwas auch schon gehabt?
Gruss
Manni
Ist der Mail Access Server Dienst AKTIV?
Hi,
Ja der Mail Access Server Dienst AKTIV.
Komisch jetzt kann ich Mails abholen aber keine Versenden.
Port ist Belegt.
Monitor Meldung
(1) Contacting next MX
(1) Connecting to server 213.165.xxx.xxx
(1) Connection established (548)
(00000548) Read failed: Got=0
(1) SMTP Server: Not ready!
(1) Mail Transmission aborted
(1) SMTP Server: Not ready!
(1) Mail Transmission aborted
(1) Contacting next MX
(1) Connecting to server 213.165.xxx.xxx
(1) Connection established (600)
(00000600) Read failed: Got=0
(1) SMTP Server: Not ready!
(1) Mail Transmission aborted
Vorher ging alles.
Tobit 8 auf einem Win 2003 Server.
Für was genau nutzt ihr den MAIL ACCESS SERVER?
Wer loggt sich mit Outlook ein?
Original von manni4545
Hallo,
Habe heute in meinem TIC folgendes im Ausgang gehabt.25 Apr 2007 05:37:25 UT
Date: Wed Apr 25 14:39:11 PDT 2007
From: "Roberto Sanchez" <atmpXXlt@dslb-088-065-189-019.pools.arcor-ip.net>
To: "clarissa thomas" <rexm5hjz@gmail.com>
Subject: SM:88.65.189.19This works.
Hat da jemmand versucht ein Rundmail zu verschicken.
Ich hoffe David ist sicher. Hat jemmand so etwas auch schon gehabt?Gruss
Manni
Für mich sieht es nach der Meldung eines Trojaners aus, der eine IP adressse publiziert.
Was ist denn 88.65.189.19 für eine IP Adresse? Ist die von euch?
Hi
Die Ip ist von uns.
Arcor
Aber die Mail adressen nicht
gruss
manni
also einen ordentlichen Virenschutz setze ich vorraus , oder? Manuellen Scan ausführen.
Original von kingcopy
also einen ordentlichen Vireschutz setze ich vorraus , oder? Manuellen Scan ausführen.
Hi,
Virenscanner: Trend Micro Client Server Security sollte eingentlich OK sein.
Findet nichts Adaware auch nicht.
Manni
Hallo,
natürlich ist die e-mail Adresse nicht von euch.
Für mich sieht es eindeutig so aus, dass ein Trojaner die IP des infizierten Computers an sein Herrchen zurückmeldet, damit dieser damit spielen kann.
Da hilft nur mal zu checken, was den auf der Kiste so läuft was da nicht hingehört.
Hier das ist bekannt:
ich zitiere:
Und zwar versucht seit einigen Tagen irgendjemand meinen Server als Spam-Relay zu nutzen. Soweit ist das ja nichts neues. Was aber eventuell neu daran sein könnte ist, dass der Spammer erst einmal einen Probeversuch macht.
Dabei geht er we folgt vor: Als erstes nimmt der Spammer Kontakt zum Server auf Port 25 auf. Ist der Kontaktversuch erfolgreich, wird er direkt wieder abgebrochen. Nach ca. 3 Minuten erfolgt dann der eigentliche Zustellversuch. Welcher natürlich abgewiesen wird, weil der Server wie es sich gehört kein offenes Relay ist, sondern die Zustellung nur an in seiner Map verzeichnete Adressen erfolgt.
Was weiterhin auffällig ist, ist die IP des Senders und die Absenderadresse. Die sind nämlich immer gleich.
Das heißt die Absenderadresse ist nur im ersten Teil gleich. Also im Benutzer-Abschnitt.
Die lautet immer atmpXXlt@$veränderlicher_teil.
Die IP ist immer xxxxxxxxx
Der Empfänger ist ebenfalls immer gleich. Die Mail soll gesendet werden an: rexm5hjz@gmail.com
also doch eher der M.A.S.
Das ist auf alle Fälle HOCHINTERESSANT und muss genaustens untersucht werden!
Original von kingcopy
also doch eher der M.A.S.
Wieso MAS, für den Versand ist doch der Postman zuständig oder irre ich mich?
Das ist natürlich eine Alternative, dass der Server ein offenenes Relay ist. Nachrichten die so verschickt werden müssten standardmäßig im Ausgang des Administrators auftauchen, oder?
Ist zwar aus der FAQ von unserem Produkt, aber egal:
Link:
Wie teste ich, ob mein Mailserver sicher ist?
Kannst ja mal Euren David oder was auch immer "reinwerfen" und schauen, was passiert.
Original von dj2k
Ist zwar aus der FAQ von unserem Produkt, aber egal:Link:
Wie teste ich, ob mein Mailserver sicher ist?Kannst ja mal Euren David oder was auch immer "reinwerfen" und schauen, was passiert.
Hallo,
Hier ein kurzer auszug aus dem Test.
Relay test 18
>>> RSET
<<< 250 Reset state
>>> MAIL FROM: <spamtest@[88.65.177.182]>
<<< 250 ... Sender ok
>>> RCPT TO: <antispam-ufrj.pads.ufrj.br!relaytest@dslb-088-065-177-182.pools.arcor-ip.net>
<<< 550 No such user here
Relay test 19
>>> RSET
<<< 250 Reset state
>>> MAIL FROM: <spamtest@[88.65.177.182]>
<<< 250 ... Sender ok
>>> RCPT TO: <relaytest%antispam-ufrj.pads.ufrj.br@>
<<< 250 ... Recipient ok
>>> QUIT
<<< 221 192.168.33.100 Service closing transmission channel
Relay test result
Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.
Manni.
Hast du im Postman die Option Weiterleiten aktiv?
Original von Kato
Hast du im Postman die Option Weiterleiten aktiv?
Hallo Kato
Die Weiterleitung ist nicht aktiv.
Gruss
Manni
Original von manni4545
Relay test result
Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.
Es scheint also, als würde zumindest die Möglichkeit bestehen, dass hier etwas offen ist, de facto sendet der Test keine Mails raus, sondern prüft nur ob es möglich wäre.
Es scheint als wären die lokalen Adressaten nicht ordentlich abgesteckt, über den Grund dafür kann ich im Moment nur rätseln.
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!
