Merkwürdiger e-Mail Versand

Hallo zusammen,

seit zwei Tage beobachte ich auf unserem David XL Server ein etwas komisches Verhalten.

Im Versandprotokoll des Servers tauchen einmal täglich genau acht e-Mails an verschiedene Adressen auf die angeblich der Benutzer 00000000 verschickt hat.

Merkwürdigerweise gibt es keinen Benutzer 00000000 und dieses Verhalten tritt dann auf wenn ein einzelner Anwender seine Workstation hochfährt.

In der Betreff-Spalte und An-Spalte wird die e-Mail-Adresse des Empfängers eingetragen.

Die erste Vermutung ging in Richtung Virus aber kein Scanner konnte auch nur ansatzweise was finden. Auch der Rechner ist sauber wirklich nix zu finden.

Da die Mails nur im Protokoll auftauchen, kann man natürlich nicht nachvollziehen was drin steht.

Als erstes habe ich jetzt mal die Adressen auf die Robinson-Liste gesetzt damit mir die Empfänger nicht sauer werden aber das kann ja keine dauerhafte Lösung sein.

Hat vielleicht jemand von euch einen Tipp für mich wo ich ggf. noch ansetzten könnte? Irgendwie bin ich ratlos.

Vielen Dank im Voraus.

Gruß Frank

Hi,

nehme mal an da versendet einer über deinen Server... das muss nicht unbedingt ein Virus sein! Hatte ich auf meinem Server auch mal. Schau mal zu das du dein Netzwerk dicht kriegst. Insbesondere diesen Ominösen Rechner.

Die empfänger-e-mail Addy steht immer im Betreff wenn kein Betreff angegeben wurde.

Gruß,
Kai

Hallo Kai,

zunächst vielen Dank für Deine Antwort.

Letzte Nacht hat der Server merkwürdigerweise genau diese acht Mails wieder verschickt ohne daß ein User angemeldet war. War ja auch punkt 3:01 Uhr

Es sind immer exact dieselben 8 Mailadressen. Da kommt nix dazu und da geht auch nix weg. Die Adressen stammen von Firmen die uns irgendwann mal eine Mail geschickt haben. Keine davon steht in irgendeinem Adressbuch.

Als Absender wird immer eine Adresse aus unserem Pool verwendet.

Die Einträge der Adressen in die Robinson-Liste hat absolut nix gebracht der Server ignoriert das einfach und sendet trotzdem fleißig weiter.

Das ganze Netzwerk steht hinter einer Firewall und da kann von außen keiner zugreifen. Außerdem ist die Weiterleitung deaktiviert und damit kann doch eigentlich auch keier von außen an den Server oder sehe ich da jetzt was falsch ????

Langsam bin ich hier am verzweifeln das muß doch irgendwie abzustellen sein ???

Freue mich über jeden Tipp.

Hi!

Die Forensuche hätte dir schon eine erklärung gebracht:

Das Problem hatten wir schon mal...

Gruß

Björn

Hi,

das mit der Foren-Suche hatte ich hinreichend probiert aber nix gefunden, sorry dafür.

Grundsätzlich ist der Artikel interessant aber trifft eben nicht ganz zu.

Bei mir sind es exakt dieselben 8 eMail-Adressen und der Versand erfolgte nur einmal zufällig zu dem Zeitpunkt an dem der Server seine Archive geputzt hat. Die beiden anderen Versandzeitpunkte lagen ganz anders. Auch hier ist keine Regelmäßigkeit nachvollziehbar, also nix in Richtung alle 8 oder 12 Stunden.

Weiterhin sehe ich die Einträge vom Nutzer 00000000 nur im Ausgangsprotokoll welches über die David-Admin-Funktion erreichbar ist. In keinem Ausgangskorb ist auch nur eine Nachricht oder ein Hinweis zu finden. Nicht einmal im System-Fehler-Proktokoll steht irgendwas. Im Moment herrscht bei mir großes Rätselraten da ich halt nirgendwo nachvollziehen kann, was der dämliche Server da eigentlich verschickt.

Was mich verwundert ist die Tatsache das der Server Einträge in der Robinson-Liste einfach ignoriert. Sendet ein real existierender Anwender an eine der Adressen werden die Mails geblockt. Sendet der Server selber mit dem ominösen Benutzer 00000000 gehen die Mails trotz Robinson-Liste raus. Irgendwie doch auch nicht ganz OK oder?

Hi!

Dass könnte sein, dass es Tracking-Nachrichten sind:
Empfangen, gelesene, und eben um 3.00 Uhr gelöscht.

Das geanze zufällig bei genau 8 Nachrichten.

Ggf. müsstest du beobachten ob das wieder auftritt oder alternativ das Messagetracking ganz abschalten.

Gruß

Björn

Dank für den Tip.

Ich werde jetzte einfach mal das Tracking abschalten und mal sehen was der Server dann in Zukunft so treibt.

Vielleicht liegt´s ja daran - wäre wenigstens mal ein kleiner Ansatz.

Möglich wäre auch, diese 8 eMail Adressen im David anzulegen als Empfangsadresse des Administrators. Dann sollte David diese Mails direkt dem Administrator zuordnen. Somit wüsstest Du, was in den Mails steht.

Andere Möglichkeit wäre, einen zweiten Mail-Server als Relay temporär zwischenzuschalten. Dort alle Mail protokollieren bzw. archivieren.

Oder einen Traffic-Scanner installieren. Diese Möglichkeit wäre aber wohl die Aufwändigste.

Medano C. C.