Server Support Forum
Windows Mailserver Spammissbrauch

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 15.06.2010, 21:55
Benutzerbild von Bill Gates
Bill Gates Bill Gates ist offline
Registered User
 
Registriert seit: 03.2010
Ort: Kaarst, NRW
Alter: 23
Beiträge: 115
Bill Gates eine Nachricht über ICQ schicken
Windows Mailserver Spammissbrauch

Hallo Leute,

Ich wurde vom Hosteurope Support darauf hingewiesen das von
meinem Server Spam versendet wird also schaute ich mir das ganze mal an
und sah das es verdammt viele Zugriffe auf den SMTP Server gab (Bild Anhang)

Dies sendete mir Hosteurope anbei:
Code:
> [ SpamCop V4.6.0.031 ]
>  This message is brief for your comfort.  Please use links below for details.
>  
>  Email from 83.169.10.223 / Thu, 10 Jun 2010 21:53:25 -0700
>  http://www.spamcop.net/w3m?i=z500585...dbb0c7e3445cfz
>  
>  [ Offending message ]
>  Return-Path: <andrew_nospam+caf_=andrewrump=spamcop.net@rump.dk>
>  Delivered-To: spamcop-net-andrewrump@spamcop.net
>  Received: (qmail 20185 invoked from network); 11 Jun 2010 04:53:28 -0000
>  X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on filter7
>  X-Spam-Level: *******************************
>  X-Spam-Status: hits=31.7 tests=DATE_IN_FUTURE_96_XX,FH_FAKE_RCVD_LINE,
>          FROM_ILLEGAL_CHARS,HTML_FONT_SIZE_LARGE,HTML_MESSAGE,MIME_BOUND_DD_DIGITS,
>          MIME_HTML_ONLY,MIME_HTML_ONLY_MULTI,MIME_QP_LONG_LINE,MISSING_MIMEOLE,
>          MPART_ALT_DIFF,RCVD_DOUBLE_IP_SPAM,SUBJECT_NEEDS_ENCODING,SUBJ_ILLEGAL_CHARS,
>          TRACKER_ID,TVD_SPACE_RATIO,UPPERCASE_50_75 version=3.2.4
>  Received: from unknown (192.168.1.88)
>    by filter7.cesmail.net with QMQP; 11 Jun 2010 04:53:28 -0000
>  Received: from mail-bw0-f48.google.com (209.85.214.48)
>    by mxin1.cesmail.net with SMTP; 11 Jun 2010 04:55:44 -0000
>  Received: by bwz5 with SMTP id 5so205027bwz.21
>          for <andrewrump@spamcop.net>; Thu, 10 Jun 2010 21:53:27 -0700 (PDT)
>  Received: by 10.204.139.218 with SMTP id f26mr846208bku.180.1276232006808;
>          Thu, 10 Jun 2010 21:53:26 -0700 (PDT)
>  X-Forwarded-To: andrewrump@gmail.com, andrewrump@spamcop.net
>  X-Forwarded-For: andrew_nospam@rump.dk andrewrump@gmail.com, andrewrump@spamcop.net
>  Delivered-To: setiathome@rump.dk
>  Received: by 10.204.118.130 with SMTP id v2cs151177bkq;
>          Thu, 10 Jun 2010 21:53:26 -0700 (PDT)
>  Received: by 10.223.99.78 with SMTP id t14mr1202780fan.85.1276232006008;
>          Thu, 10 Jun 2010 21:53:26 -0700 (PDT)
>  Return-Path: <lclei@ms69.hinet.net>
>  Received: from CT28322 (wvps83-169-10-223.dedicated.hosteurope.de [83.169.10.223])
>          by mx.google.com with ESMTP id c1si1440223fak.96.2010.06.10.21.52.55;
>          Thu, 10 Jun 2010 21:53:25 -0700 (PDT)
>  Received-SPF: neutral (google.com: 83.169.10.223 is neither permitted nor denied by domain of lclei@ms69.hinet.net) client-ip=83.169.10.223;
>  Authentication-Results: mx.google.com; spf=neutral (google.com: 83.169.10.223 is neither permitted nor denied by domain of lclei@ms69.hinet.net) smtp.mail=lclei@ms69.hinet.net
>  Received: from wircli5-28.ica-net.it ([81.30.5.28]) by CT28322 with Microsoft SMTPSVC(6.0.3790.3959);
>           Fri, 11 Jun 2010 04:48:01 +0200
>  Received: from 192.72.224.150 by 81.30.5.28; Wed, 16 Jun 2010 01:43:24 -0100
>  Message-ID: <IOVBROTDXMDQOZGOVWQBDOVD.FHNPXUlclei@ms69.hinet.net>
>  From: "¯Ê¿ú¯Ê¸êª÷¥Í·NÃø°µ¡A¥¢¥h¤j¦n¾÷·|" <lclei@ms69.hinet.net>
>  To: sh6199@ms51.hinet.net
>  Subject: °·«O¥d¼v¥»¥i ɲ{ª÷10¸U¤º
>  Date: Wed, 16 Jun 2010 05:43:24 +0300
>  X-Mailer: AOL 7.0 for Windows US sub 118
>  MIME-Version: 1.0
>  Content-Type: multipart/alternative;
>          boundary="--83085742866909786364"
>  X-Priority: 3
>  X-MSMail-Priority: Normal
>  Return-Path: lclei@ms69.hinet.net
>  X-OriginalArrivalTime: 11 Jun 2010 02:48:02.0120 (UTC) FILETIME=[82592C80:01CB0910]
>  X-SpamCop-Checked: 
>  X-SpamCop-Disposition: Blocked SpamAssassin=31
>  
>  ----83085742866909786364
>  Content-Type: text/html;
>  Content-Transfer-Encoding: quoted-printable
>  
>  <html>
>  <body>
>  <p><font color=3D"#FFFFFF">g5b5erMytN0GXmRt7ALcYJi9lx9aaA7b </font></p>
>  <p><font size=3D"6" color=3D"#FF0000">=A5=FE=A5x=A4f=B8O=B2=C4=A4@=A6W=A1I=
>  <br>
>  =A4Q=B8U=A4=B8=A4=BA=B0=A8=A4W=A8=D3=B9q=B0=A8=A4W=AD=C9=B1M=BDu</font><br=
>  >
>  <br>
>  <font size=3D"5" color=3D"#0000FF">=BB=C8=A6=E6=ABB=A4=D1=A6=AC=B3=CA,=A7=DA=
>  =AD=CC=B3=B7=A4=A4=B0e=AC=B4 <br>
>  =AD=D3=A4H=A4=E1=A1A=A4p=A4=BD=A5q=C0=E7=B9B=B6g=C2=E0=AA=F7=A1B=AEa=AEx=C1=
>  ~=A4=F4=A4=A3=B0=F7=A5=CE=A1A=C1{=AE=C9=AB=E6=A5=CE=BD=D5=A8S=BF=FA=B6=DC?=
>   <br>
>  =A7K=A9=E3=ABO=A1B=A7K=A4=E2=C4=F2=B6O=A1B=BB=B4=C3P=AD=C9=A1B=A8=B3=B3t=B8=
>  =D1=A8M=B1z=B8=EA=AA=F7=A4W=A7x=C3=F8 <br>
>  =A5=CE=B4X=A4=D1=BA=E2=B4X=A4=D1=A1A=A4=A3=A5=CE=AC=DD=A4H=C1y=A6=E2=A1A30=
>  =A4=C0=C4=C1=B2{=AA=F7=B0e=A8=EC=B1z=A4=E2=A4W <br>
>  =B1M=A4H=AAA=B0=C8=A1B=A4=A3=A5=B2=B6=D7=B4=DA=A1B=A7K=A8=FC=C4F=A1B=C5w=AA=
>  =EF=A8=D3=B9q </font></p>
>  <p><b><font size=3D"5" color=3D"#008000">=A7K=A9=E3=A1B=A7K=ABO=A1B=B8=DB=AB=
>  H=ABO=B1K=A1B=A5i=A4=C0=B4=C1 =A5=F8=B7~=A1A=A4=BD=A5q=A1A=ADt=B3d=A4H=AF=CA=
>  =B6g=C2=E0=AA=F7=A7=E4=A7=DA(=AD=AD=A6=B3=C1=D9=B4=DA=AF=E0=A4O=AA=CC)=A1B=
>  </font></b></p>
>  <p><b><font size=3D"5" color=3D"#008000">=AA=D1=B2=BC=A5=E6=B3=CE=A5N=B9=D4=
>  =B4=DA =A5=F8=B7~=B5u=A4=A4=AA=F8=B4=C1=A9P=C2=E0=AA=F7=A1BL/C=A1B=AD=EC=AE=
>  =C6=A1B=BE=F7=BE=B9=B3]=B3=C6=A1B=A9=D0=A6a=B2=A3=B5=A5=A1B</font></b></p>=
>  
>  <p><b><font size=3D"5" color=3D"#008000">=A7K=A9=E3=A1B=A7K=ABO=A1B=B8=DB=AB=
>  H=ABO=B1K=A1B=A5i=A4=C0=B4=C1 =ADt=B3d=A4H.=A5=F8=B7~=A5D.=A5=F8=B7~=B6U=B4=
>  =DA=A1B</font></b></p>
>  <p><br>
>  <font color=3D"#FF9933" size=3D"6">&lt;&lt;&lt;=A4j=A5x=A5_=BF=A4=A5=AB=A1=
>  B=B0=F2=B6=A9=A1B=AE=E7=B6=E9=A1B=B7s=A6=CB=A5H=A5_=BD=D0=BC=B7 &gt;&gt;&g=
>  t; <br>
>  =A2=AF=A2=B8=A2=B2=A2=B7=A1=D0=A2=B1=A2=B8=A2=B7=A1=D0=A2=AF=A2=B3=A2=B8 =AA=
>  L=A5N=AE=D1 </font></p>
>  <p><font color=3D"#FFFFFF">f4amR6OviMTCtIKBmCZqOnOmG1H5cd </font></p>
>  </body>
>  </html>
>  
>  ----83085742866909786364--
Ich hoffe ihr wisst was ich machen kann
damit dieser Spamversand aufhört.

Den SMTP sowie POP 3 Service habe ich bereits abgeschaltet damit
der Spamversand gestoppt wird und ich keinen Stress mit Hosteurope bekomme.

MFG, Bill Gates
Miniaturansicht angehängter Grafiken
Windows Mailserver Spammissbrauch-1.jpg  

Geändert von Thorsten (17.06.2010 um 15:14 Uhr) Grund: Code Tags gesetzt.
Mit Zitat antworten

  #2  
Alt 15.06.2010, 22:39
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.289
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Wie wurden die Emails versand?
Lief der SMTP als OpenRelay oder wurden die Zugangsdaten eines Benutzers missbraucht um die Spamflut zu schicken?

BIst du sicher dass der Spam aufgehoert hat? (Mit ActivePorts beispielsweise die Aktivitaet auf Port 25 (Remote) beobachten; des oefteren wird der Versand auch ueber Webspace-Anwendungen (CGI, PHP, ...) gleichzeitig oder als Fallback versand. Die SPammer wollen doch ihre Milchkuehe nicht so schnell verlieren...
Mit Zitat antworten
  #3  
Alt 16.06.2010, 06:06
Whistler Whistler ist offline
Support Guru
 
Registriert seit: 10.2008
Beiträge: 2.647
Code:
Received: from wircli5-28.ica-net.it ([81.30.5.28]) by CT28322 with Microsoft SMTPSVC(6.0.3790.3959); Fri, 11 Jun 2010 04:48:01 +0200
Was sagt das Protokoll zu diesem Zeitpunkt? Sieht mach offenem Relay aus.
Mit Zitat antworten
  #4  
Alt 16.06.2010, 08:25
Benutzerbild von traced
traced traced ist offline
Registered User
 
Registriert seit: 09.2006
Ort: München
Alter: 35
Beiträge: 2.352
Am besten Port 25 nach aussen dicht machen bis Du weisst was los ist.

Grüsse
Mit Zitat antworten
  #5  
Alt 16.06.2010, 16:24
Benutzerbild von Bill Gates
Bill Gates Bill Gates ist offline
Registered User
 
Registriert seit: 03.2010
Ort: Kaarst, NRW
Alter: 23
Beiträge: 115
Bill Gates eine Nachricht über ICQ schicken
Aber wie mache ich das dicht ?
Mit Zitat antworten
  #6  
Alt 16.06.2010, 18:18
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.289
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Ueber die Firewall? Eigehende und ausgehende Verbindungen auf Port25 sperren
Mit Zitat antworten
  #7  
Alt 16.06.2010, 19:23
Benutzerbild von Bill Gates
Bill Gates Bill Gates ist offline
Registered User
 
Registriert seit: 03.2010
Ort: Kaarst, NRW
Alter: 23
Beiträge: 115
Bill Gates eine Nachricht über ICQ schicken
Die Firewall ist wie üblich beim VServer ausgeschaltet
Mit Zitat antworten
  #8  
Alt 16.06.2010, 19:32
voodoo44 voodoo44 ist offline
Registered User
 
Registriert seit: 03.2006
Alter: 31
Beiträge: 774
Und anschalten ist unmöglich? ^^"
Mit Zitat antworten
  #9  
Alt 16.06.2010, 19:47
Benutzerbild von Bill Gates
Bill Gates Bill Gates ist offline
Registered User
 
Registriert seit: 03.2010
Ort: Kaarst, NRW
Alter: 23
Beiträge: 115
Bill Gates eine Nachricht über ICQ schicken
Nein, aber bei VServern ist eine Firewall sinnlos
Mit Zitat antworten
  #10  
Alt 16.06.2010, 19:49
voodoo44 voodoo44 ist offline
Registered User
 
Registriert seit: 03.2006
Alter: 31
Beiträge: 774
Wenn du jetzt noch verrätst, warum sie das sein sollte ... ?
Haste nicht grad 'ne Anwendung dafür gefunden?
Mit Zitat antworten
  #11  
Alt 16.06.2010, 20:17
Benutzerbild von M-X
M-X M-X ist offline
Registered User
 
Registriert seit: 09.2008
Beiträge: 261
Sinnlos? Oo Ich sehe da ist ein Server Profi am Werk.

Mach mal die Firewall an und Block den Port 25 und schon sollte erstmal kein Spam mehr versendet werden.
Mit Zitat antworten
  #12  
Alt 16.06.2010, 20:23
vb-server vb-server ist offline
Registered User
 
Registriert seit: 07.2009
Beiträge: 1.342
und verpetz die IP's, welche spammen.
Mit Zitat antworten
  #13  
Alt 16.06.2010, 22:19
Benutzerbild von Bill Gates
Bill Gates Bill Gates ist offline
Registered User
 
Registriert seit: 03.2010
Ort: Kaarst, NRW
Alter: 23
Beiträge: 115
Bill Gates eine Nachricht über ICQ schicken
Das Problem wenn ich die Firewall anschalte wird mein FTP Server geblockt und ich weiss ned wie ich den konfiguriere dafür
Mit Zitat antworten
  #14  
Alt 16.06.2010, 22:29
voodoo44 voodoo44 ist offline
Registered User
 
Registriert seit: 03.2006
Alter: 31
Beiträge: 774
Du könntest den FTP-Port freigeben ...

Und du bist dir ganz sicher, dass du so einen Server administrieren kannst?
Mit Zitat antworten
  #15  
Alt 16.06.2010, 22:52
vb-server vb-server ist offline
Registered User
 
Registriert seit: 07.2009
Beiträge: 1.342
Wenn das mein Server wäre würde entweder die komplette Mailfunktion löschen oder den Server neu machen. Wenn du Mail mit deiner Domain brauchst, lass das von einem externen Anbieter machen. zB Google oder Microsoft bieten das an.

Dann aktivierst du die Firewall und lässt NUR das durch was du brauchst (80,21,3389).


Auf meinem vServer (ubuntu 8.04LTS) setze ich genau aus diesem Grund keinen Mailserver ein. Die Gefahr ist mir zu gross, dass gespammt wird. Leider hatte ich bis jetzt noch nie einen Windows vServer und kann dir nicht sagen, wie du die Firewall konfigurieren musst. Mein vServer wird mit OpenVCP virtualisiert. Dort kann man 2 Firewall-Regeln anlegen:

Protokoll Quell-IP Ziel-IP Quell-Port Ziel-Port Aktion
TCP * * * 80 erlauben
TCP * * * * verweigern



das wars dann schon mit der Firewall-Config, ausser 80 ist alles dicht.

gruss vb-server
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
mail, spam, windows


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
mod_evasive im Livebetrieb BrianFFM Security 1 07.06.2009 20:42
2-3 mal WEBSERVER ABSTURZT AM TAG - HILFE....!! malyS Dedizierte Server 45 09.02.2009 12:36
Tausende Aufrufe in wenigen Min. - Apache bricht ein reSh Dedizierte Server 54 07.07.2008 11:00
Stark ansteigende Zahl von Angriffen auf php-Forum blob Webserver 7 19.01.2008 18:04
VHCS Heute Nacht Gehackt biffi VHCS 12 17.01.2007 08:31


Windows Mailserver Spammissbrauch
Windows Mailserver Spammissbrauch
Windows Mailserver Spammissbrauch Windows Mailserver Spammissbrauch
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.