Onderwerp: Exchange 2007 verstuurt spam

Hi!

We hebben hier een lastig probleempje met onze Exchange server (sbs2008)

Via Wireshark zie ik dat er spam wordt gestuurd door onze server. De server is geen open relay. Daarnaast heb ik SMTP authtentication uitgezet om te kijken of er wellicht een account gehijacked is. Ook heb ik de receive connector eventjes ingesteld dat deze geen verbindingen toestaat.

Beide maatregelen houden de spam niet tegen. De spam wordt wel echt via de Exchange server verzonden, die zie ik aan de HELO naam. Daarnaast stopt de spam als ik de transport service stop.

Gek is deze uitgaande spam niet terug te zien in het ''Message Tracking'' tooltje.

SMTP logs laten enkel de SMTP transactie zien

Code:

2013-01-11T18:59:07.058Z,Versturen,08CFBE055542A8E6,2,192.168.2.204:32154,195.128.50.36:25,<,220 mailx.hoster.ru ESMTP spamd IP-based SPAM blocker; Fri Jan 11 21:59:03 2013,
2013-01-11T18:59:07.058Z,Versturen,08CFBE055542A8E6,3,192.168.2.204:32154,195.128.50.36:25,>,EHLO e01.x.nl,
2013-01-11T18:59:07.105Z,Versturen,08CFBE055542A8E6,4,192.168.2.204:32154,195.128.50.36:25,<,"250 Hello, spam sender. Pleased to be wasting your time.",
2013-01-11T18:59:07.105Z,Versturen,08CFBE055542A8E6,5,192.168.2.204:32154,195.128.50.36:25,*,188889,sending message
2013-01-11T18:59:07.105Z,Versturen,08CFBE055542A8E6,6,192.168.2.204:32154,195.128.50.36:25,>,MAIL FROM:<>,
2013-01-11T18:59:07.152Z,Versturen,08CFBE055542A8E6,7,192.168.2.204:32154,195.128.50.36:25,<,"250 You are about to try to deliver spam. Your time will be spent, for nothing.",
2013-01-11T18:59:07.152Z,Versturen,08CFBE055542A8E6,8,192.168.2.204:32154,195.128.50.36:25,>,RCPT TO:<gNNycoXnV@svyatogorsochi.ru>,
2013-01-11T18:59:07.214Z,Versturen,08CFBE055542A8E6,9,192.168.2.204:32154,195.128.50.36:25,<,250 This is hurting you more than it is hurting me.,
2013-01-11T18:59:07.214Z,Versturen,08CFBE055542A8E6,10,192.168.2.204:32154,195.128.50.36:25,>,DATA,
2013-01-11T18:59:07.261Z,Versturen,08CFBE055542A8E6,11,192.168.2.204:32154,195.128.50.36:25,<,"451 Greylisting is in progress. Please, delay the message for at least 15 minutes before retry.",
2013-01-11T18:59:07.261Z,Versturen,08CFBE055542A8E6,12,192.168.2.204:32154,195.128.50.36:25,>,QUIT,
2013-01-11T18:59:07.308Z,Versturen,08CFBE055542A8E6,13,192.168.2.204:32154,195.128.50.36:25,-,,Remote

Hoe kan ik er achter komen wat de bron precies is? Malwarebytes en andere scanners vinden niets!

Heb je al gekeken hoeveel mails er in de mailqueue staan? Daarnaast adviseer ik om terwijl het probleem niet opgelost is uitgaande mail te blokkeren.

192.168.2.204 is het interne IP van de Exchange server?

Om te beginnen zou ik al starten met een virusscan op je servers.
Het is weekend dus misschien ben je in de mogelijkheid clients af te sluiten, het zou me niets verbazen dat er daar een virus zit.. De clients die nog aan blijven staan ook scannen.

En zoals hierboven gezegd zet out outbound mail uit tot het is opgelost, je staat op het randje van geblacklist te worden zo..

Stomme vraag, maar de meeste Exchange servers vanaf 2007 hebben meerdere receive connector's.
een virus wat zich binnen Exchange nesteld ben ik nog nooit tegen gekomen, wel slecht geconfigde SMTP instellingen en receive connectors.