Inkonsistente Logfiles von MTA und Firewall
Von: Thomas Wildgruber (excpronto@web.de) [Profil]Datum: 13.10.2009 17:53
Message-ID: <1udthy4dfyflk$.dlg@prontosystems.org>
Newsgroup: de.comm.software.mailserver
Hi Group, ich versuche gerade ein Problem zu klären. Ich sehe im Logfile der Firewall die Verbindungen, welche unser MTA zu diversen Remote IPs auf Port 25 aufbaut. Manche dieser IPs konnte ich nicht im SMTP Logfile unseres MTAs (Exchange 2003) finden. Dort ist keine Spur von diesen misteriösen Verbindungen. Mein erster Verdacht - ein infizierter MTA der eine Malware mit eigener SMTP Engine hostet - hat sich glücklicherweise nicht bestätigt, also habe ich auf dem MTA mal Wireshark mitlaufen lassen um festzustellen, ob diese Verbindungen auch tatsächlich von unserem MTA kommen oder ob nicht ein infizierter Host im LAN die interne MTA IP spooft. Auch das war nicht der Fall aber dabei habe ich festgestellt, dass die in der Firewall geloggten IPs, die nicht im MTA Logfile zu finden waren, zu Verbindungen gehören, die nicht über das SYN ACK hinausgekommen sind. Kurz: Hinter der Remote IP steht gar kein MTA. Die Verbindung kam demnach nicht zustande und unser MTA sieht offensichtlich dann auch keine Veranlassung, dies im SMTP Logfile zu vermerken. Schlau aber für zu schlau... ;-) Soweit so gut aber nun frage ich mich *warum* unser MTA eigentlich versucht von sich aus eine Verbindung zu einem nicht existierenden Remote MTA aufzubauen? Ein NDR kann es IMHO nicht sein, denn dafür ist unser MTA nicht zuständig, wenn er eine Mail - aus welchem Grund auch immer - nicht annehmen sollte und Auto-Responders haben wir seit mehr als 10 Stunden deaktiviert. Möglicherweise laufen da jetzt noch diverse Altlasten bzgl. der zuvor zugelassenen Auto Responder Funktion, zumindest lässt die Anzahl dieser Vorfälle spürbar nach aber... ...kann mir jemand Tipps geben, was unseren MTA noch veranlassen könnte einen nicht existierenden MTA zu kontaktieren? Mal abgesehen von einem Auto-Responder. Thx & Bye Tom -- "Ich weiß nicht, was der französische Staatspräsident Mitterand denkt, aber ich denke dasselbe." (Helmut Kohl)[ Auf dieses Posting antworten ]
Antworten
- Heiko Schlenker (13.10.2009 18:14)
- Thomas Wildgruber (13.10.2009 19:22)
- Heiko Schlenker (13.10.2009 20:49)
- Thomas Wildgruber (13.10.2009 22:20)
- Heiko Schlenker (14.10.2009 13:17)
- Thomas Wildgruber (14.10.2009 15:45)
- Juergen P. Meier (15.10.2009 06:42)
- Thomas Wildgruber (15.10.2009 21:55)
- Juergen P. Meier (16.10.2009 06:19)
- Jens Mander (nein, nicht wirklich) (17.10.2009 10:38)
- Felltraeger (13.10.2009 23:49)
- Heiko Schlenker (14.10.2009 13:07)
- Jens Mander (nein, nicht wirklich) (14.10.2009 15:52)
- Thomas Wildgruber (14.10.2009 17:26)