Exchange Nutzer bekommen täglich über 1000 (SPAM-) Mails!

[TK8782]

Hallo,

ich habe momentan bei einem Kunden das Problem dass viele Nutzer am Tag einfach wahllos irgendwelche Mails als Antwort bekommen, obwohl Sie an diese Adressen gar keine Mails verschickt haben. Und zwar handelt es sich hierbei nicht um charakteristische Spammails, sondern die Mails sehen vom Header immer so aus, als hätte der Nutzer eine Mail an die Adresse geschickt, da diese aber nicht erreicht werden kann, kommt eine Meldung an den Nutzer zurück....!

Beispiel eines Headers:

-----Original Message-----

From: Mail Delivery Subsystem <MAILER-DAEMON@raq550-sv.atlantis-web.com>

To: Herrenberg

Sent: Fri Jun 27 07:00:26 2008

Subject: Warning: could not send message for past 4 hours

<<ATT02103.txt>> *************** <<Downloadable porno DVD's for free>> *******************************

** THIS IS A WARNING MESSAGE ONLY **

** YOU DO NOT NEED TO RESEND YOUR MESSAGE **

**********************************************

The original message was received at Fri, 27 Jun 2008 07:19:54 +0900

from ns1.atlantis-web.com [221.249.58.34]

----- The following addresses had transient non-fatal errors -----

atlantis.postmaster@gmail.com

(expanded from: keith)

----- Transcript of session follows -----

atlantis.postmaster@gmail.com... Deferred: Connection reset by gsmtp147.google.com.

Warning: message still undelivered after 4 hours

Will keep trying until message is 5 days old

Für die Spamfilterung ist auf dem Exchange auch ein GFI Mailessentials eingerichtet, der die charakteristischens Spammails aussortiert. Das funktioniert auch ohne Probleme.

Woran kann das liegen? Problem ist auch, dass an einem Tag der eine Benutzer betroffen ist und an einem anderen Tag wieder ein anderer.

Kennt jemand dieses Problem? Kann das auch am Provider, bei dem das Catchall-Postfach gehostet ist, liegen?

Besten Dank für Tipps!

[azett]

Da versendet einer Spam mit gefälschten Absenderadressen. Die Rückläufer ("could not be delivered") gehen natürlich an diese Adressen.

Passiert bei mir auch immer mal.

[TK8782]

Da versendet einer Spam mit gefälschten Absenderadressen. Die Rückläufer ("could not be delivered") gehen natürlich an diese Adressen.

Passiert bei mir auch immer mal.

Kann man da was gegen machen?

Die Nutzer des Exchangeservers betreiben ziemlich exzessiven Emailverkehr und bekommen dann teilweise über 100 solche Mails.

Da wäre es schon gut, wenn man das irgendwie unterbinden könnte!!!

[azett]

Kann man da was gegen machen?

Wenn der Spam tatsächlich mit gefälschten Absenderadressen von woanders aus geschickt wird, kannst du nichts machen, außer die Rückläufer im Spamfilter zu eliminieren.

Auf jeden Fall solltest du aber noch schauen, daß deine Exchange-Maschine sauber ist - am Ende schickt der Server die Mails "dank" irgendeiner Infektion tatsächlich selbst raus.

[Crash2001]

Ist der Spamfilter aktuell? Die Entwicklung geht ja immer weiter und in den neueren sind Bayes'sche besser implementiert als in den älteren Versionen.

Bei dem gegebenen Beispiel mit den Wörtern "Downloadable porno DVD's for free" im Text sollte jeder Baye'sche Filter die Mail als Spam klassifizieren. Voraussetzung ist natürlich das Setzen der richtigen "Badwords".

Anders sieht das natürlich bei Mails aus, die keine typischen Wörter enthalten. Die kann man aber dann noch immer manuell als Spam deklarieren.

Bearbeitet 27. Juni 2008 von Crash2001