Mail nicht zustellbar, aber keine gesendet

Question

Guten Tag,

vieleicht finde ich hier einen brauchbaren Rat...

Folgende Situtaion:

Seit zwei Tagen erhält eine Abteilung (5 Personen mit 5 Arbeitsstationen) unserer relativ kleinen Firma E-Mails von verschiedenen Providern das die gesendete Mail nicht durchgestellt werden konnte.

Die Zieladressen enden fast ausschließlich mit ".ru" der Witz dabei keiner der 5 Mitarbeiter hat jemals eine E-Mail an (bsp.) xxx@xxx.ru geschickt.

Unsere E-Mail Adressen sind so geschalten das es für diese Abteilung eine Hauptadresse gibt die jeder Angestellte der Abteilung empfängt und für jeden Mitarbeiter eine Seperate.
Unser Mailserver im Haus ist ein Exchange Server.
Unser Schriftgutmanagementsystem (auch E-Mail Programm) ist Regisafe und sammelt alle ein und ausgehenden E-Mails und versendet sie dann alle 15 min automatisch nach extern bzw. intern.

Die Computer werden standartmäßig zum Arbeitsende runter gefahren und trotzdem empfängt die Hauptadresse und damit alle 5 Mitarbeiter, nachts diese "NICHTZustellungsmeldung" was ja auch bedeutet das immernoch an diese ".ru" Adressen gesendet wird.

Interessant ist auch das wir eine sehr gute HW+SW Firewall haben die nahezu 93,4% alle eingehenden Spam's automatisch heraus filtert so das kein anderer Mitarbeiter (bis auf diese Abteilung) probleme mit Spam hat.

Ich glaube das waren erstmal alle Informationen die ich momentan zur Hand habe.

Mir geht es jetzt darum diese "NICHTZustellungsmeldungen" (immerhin fast jede Minute eine) zu unterbinden bzw. den Computer herauszufiltern der anscheinend immernoch E-Mail's an diese ".ru" Adressen sendet.

Alle 5 Rechner haben im übrigen Antivierensoftware installiert und wurden kurz nach auftreten des Problems gründlich mit SecuritySW geprüft jedoch ohne Ergebnis.

Ich bedanke mich erstmal für's lesen und eventuellen Antworten.

Bernd

Answer 1

nun wenn die arbeitsplätze nachts aus sind, können die keine mails senden. da dennoch mails bouncen, würde ich beim exchance server ansetzten.

* virenscan (evtl verschiedene) auf dem server
* nachrichten verfolgung einschalten bei exchange und diese mails prüfen
* evtl hat sich exchange "verschluckt", kurz dienste neu starten (evtl nachts)
* ausfiltern kannst du die ja mit deinem anti-spam werk, wäreaber keine gute lösung wenn tatsächlich das system kompromitiert ist

ggf mal die empfänger email bei einer suchmaschine eingeben, so erhälst du u.U genauer informationen zu der addy und viren.

mfg
sst

Answer 2

Ich glaube, dass Du bei Dir nix finden wirst... Das ist mit Sicherheit Missbrauch Deiner Mailadresse, die evtl. zum spammen genutzt wird und Du bekommst natürlich die Bounces in Dein Postfach zurück


lies mal hier:
http://www.miro-web.de/infos/55-e-mail-adresse-als-absender-fuer-spam-missbraucht.html

mfg Ralf

Answer 3

auch eine gute idee @ralf

Answer 4

Nachtrag zum Link:

Inwieweit sich Absendeadressen fälschen lassen hängt vom eigenen Mailprovider ab ...so weit ich weiss, lässt z.B. T-Offline das gar nicht zu, andere Provider widerum lassen fremde Mailadressen ohne Extraeinstellungen zu ...Ausnahmen sind dann meistens:

- hinter dem @ gibt es die Domaine nicht
- bei eigener Domaine gibt es den User VOR dem @ nicht

Dann gibt es Meldung "Fehler in Absendeadresse" o.ä.

mfg Ralf

Answer 5

Zunächst einmal Danke für die ja doch zahlreichen Lösungsansätze.

Ich werde einen nach den anderen durchexerzieren um zu sehen ob selbiger etwas gebracht hat.

Sorgen bereitet mir jedoch die Tatsache das diese Mail Adresse missbraucht werden könnte (siehe Antwort 2). Denn dann hab ich meines Wissens nach keine Möglichkeit dies zu stoppen außer ich lege mir eine neue Adrese zu was der Kundenfreundlichkeit unserer Firma sicher einen herben Schlag versetzt. Sehe ich das soweit richtig?

Ich werde auf jedenfall über Erfolg bzw. Misserfolg meiner Versuche in diesem Forum Bericht erstatten.

Vielen Dank nochmal und macht weiter so

Bernd

Answer 6

Ja das siehst du richtig. eine weitere möglichkeit ist der sender domain (wenn nicht gefaked) eine email zusenden mit der bitte dies zu unterlassen. für diese fällen eignet sich gut abuse@domain.ru / root@domain.ru / admin@domain.ru

tip dazu: http://www.abuse.net gucken ob da evtl was findest zu domain.ru

ansonsten rausfiltern im exchange (filter option *@domain.ru -> verwerfen"

viel spass.würd mich freuen zu erfahren wie es weiter ging.

gruss
sst

Answer 7

nu ist mir auch der richtige Begriff zum Problem (AW2) eingefallen

geht allgemein um Spoofing ...im vorliegen Fall heisst es Mail-Spoofing

Ralf

Answer 8

Guten Morgen,

hier mal ein kurzer Zwischenbericht:

Nach dem Neustart der Exchange Dienste hat sich das Aufkommen der "Bounces" auf 5 -6 verringert was eine deutliche Verbesserung darstellt jedoch das Problem im ganzen nicht gelöst hat. Trotzdem Danke an "sst".

Ich bleibe weiter dran

Bernd

Answer 9

auch eine gute idee

Das war die erste Idee, die ich zu dem Thema hatte - und das wird auch die wahrscheinlichste sein. Und ehe der Fragesteller sich zu Tode sucht: Vergiss es, das wirst Du nicht unterbinden können.

Answer 10

Hallo "besucherpete",

danke für deine Anmerkung und "wahrscheinlich" wirst du auch Recht behalten, bevor ich mir jedoch eine neue "Abteilungs E-Mail Adresse" zulege und den damit verbunden Kundeninformationen, möchte ich jede andere Möglichkeit ausschließen um das Problem eventuell doch zu lösen.