14
Exchange 2016 SMTP LOG
Hallo,
Jemand versucht bei mir per SMTP Verbindungsversuchen irgendwas anzustellen. Alle paar Minuten ein Versuch.
Ich habe das in Security LOGs gefunden. Dort steht aber keine IP Adresse woher das kommt. Ich brauche die IP Adresse.
Ich habe in EAC GUI alle Protokollierungen in Receive Connector eingeschaltet ich habe das Ganze Protokollverzeichniss nach versuchten Benutzernamen wie z.B. advertisement ode marc etc... gesucht aber nichts gefunden.
Wo kann ich mir die komplette SMTP Kommunikation ansehen? bzw. einschalten?
Danke
R.
Jemand versucht bei mir per SMTP Verbindungsversuchen irgendwas anzustellen. Alle paar Minuten ein Versuch.
Ich habe das in Security LOGs gefunden. Dort steht aber keine IP Adresse woher das kommt. Ich brauche die IP Adresse.
Ich habe in EAC GUI alle Protokollierungen in Receive Connector eingeschaltet ich habe das Ganze Protokollverzeichniss nach versuchten Benutzernamen wie z.B. advertisement ode marc etc... gesucht aber nichts gefunden.
Wo kann ich mir die komplette SMTP Kommunikation ansehen? bzw. einschalten?
Danke
R.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 377615
Url: https://administrator.de/contentid/377615
Printed on: April 26, 2024 at 08:04 o'clock
14 Comments
Latest comment
Hallo R,
na im Exchange Transport Receiver.
Aber woher weisst du, dass ein SMTP Verbindungsversuch was anstellen will, ich seh das als Grundrauschen.
...nebenfrage: Exchange ohne Proxy direkt am Netz...?
Viele Grüße,
Christian
na im Exchange Transport Receiver.
Aber woher weisst du, dass ein SMTP Verbindungsversuch was anstellen will, ich seh das als Grundrauschen.
...nebenfrage: Exchange ohne Proxy direkt am Netz...?
Viele Grüße,
Christian
Hallo Christian,
Danke für deine Antwort.
Die Protokollierung für Default Frontend Transport Receiver ist eingeschaltet.
Im gesamten Verzeichnis c:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs und in den Unterverzeichnissen habe ich gesucht aber nichts gefunden. Z.B. nach "James" wie im Beispiel unten.
Auf diesem Server kommt nur HTTPS (OWA/ActiveSync) und SMTP. Wenn ich mich mit einem falschen Benutzer am OWA anmelde, sehe ich alle Infos in Eventlog, die Ich brauche, habe ich ausprobiert. Bei den Meldungen, die ich in Security Eventlog sehe gibt es sonst keine Infos:
Ich habe kurzfristig die SMTP durch den Firewall auf Europa eingeschränkt und die Versuche haben aufgehört. Nur das kann ich so nicht lassen! Habe es wieder zurückgestellt.
Beispiel: Event ID: 4625
Event Description: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: james Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: Workstation Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted.
Die beiden Ports werden von einem UTM (Fortigate) aktiv geschützt. (Virtual IP) Nur dieser UTM kennt anscheinend SMTP Brute Force nicht und kann diese nicht unterbinden.
Danke nochmals
R.
Danke für deine Antwort.
Die Protokollierung für Default Frontend Transport Receiver ist eingeschaltet.
Im gesamten Verzeichnis c:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs und in den Unterverzeichnissen habe ich gesucht aber nichts gefunden. Z.B. nach "James" wie im Beispiel unten.
Auf diesem Server kommt nur HTTPS (OWA/ActiveSync) und SMTP. Wenn ich mich mit einem falschen Benutzer am OWA anmelde, sehe ich alle Infos in Eventlog, die Ich brauche, habe ich ausprobiert. Bei den Meldungen, die ich in Security Eventlog sehe gibt es sonst keine Infos:
Ich habe kurzfristig die SMTP durch den Firewall auf Europa eingeschränkt und die Versuche haben aufgehört. Nur das kann ich so nicht lassen! Habe es wieder zurückgestellt.
Beispiel: Event ID: 4625
Event Description: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: james Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process ID: 0x0 Caller Process Name: - Network Information: Workstation Name: Workstation Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted.
Die beiden Ports werden von einem UTM (Fortigate) aktiv geschützt. (Virtual IP) Nur dieser UTM kennt anscheinend SMTP Brute Force nicht und kann diese nicht unterbinden.
Danke nochmals
R.
Hallo R,
bist du dir sicher, dass die Zugriffe überhaupt von extern kommen? Ggf. interne Fehlkonfiguration oder HostXY; welcher alte Cred. hat?
Alternativ, schau in die UTM, spätestens diese sollte die IPs anzeigen, der Exchange sollte die Externen IPs bei richtiger Konfiguration erst gar nicht sehen können.
Ansonsten kann ich dir nur anbieten mir die Konfiguration/Logs direkt vorzunehmen, dazu dann bitte eine PN.
Viele Grüße,
Christian
bist du dir sicher, dass die Zugriffe überhaupt von extern kommen? Ggf. interne Fehlkonfiguration oder HostXY; welcher alte Cred. hat?
Alternativ, schau in die UTM, spätestens diese sollte die IPs anzeigen, der Exchange sollte die Externen IPs bei richtiger Konfiguration erst gar nicht sehen können.
Ansonsten kann ich dir nur anbieten mir die Konfiguration/Logs direkt vorzunehmen, dazu dann bitte eine PN.
Viele Grüße,
Christian
Hi,
das ist auch keine SMTP sondern OWA Anmeldung. Hast du die IIS Logs bemüht ?
Da du den Port 443 ins Internet stellst, kannst du nur mit IP-Blocking arbeiten.
MfG
das ist auch keine SMTP sondern OWA Anmeldung. Hast du die IIS Logs bemüht ?
Da du den Port 443 ins Internet stellst, kannst du nur mit IP-Blocking arbeiten.
MfG
Hi,
Ja. die IIS LOGs habe ich mir eigentlich ganz am Anfang angeschaut. Keine verdächtige Einträge. Habe mich ans OWA falsch angemeldet, der Eintrag war da, sonst keine. (Es ist eine kleine Umgebung)
Habe HTTPS Zugnag am UTM gestoppt, die Angriffe sind weitergegangen.
Erst als ich den SMTP Zugang am UTM gestoppt habe, war still. (Das kann ich mir aber nur kurze Zeit zum Testen leisten)
Der UTM Hersteller hat gesagt dass mitIPS diese Versuche abgefangen werden können. Ich kenne das von POP3 und IMAP.
(POP3.Login.Brute.Force, IMAP.Login.Brute.Force etc...)
Habe gerade jetzt entdeckt, dass ich sogar ein MS.OWA.Brute.Force Signatur habe
Es gibt sogar Telnet, SMB, RDP und Word Press Brute Force Attack Signaturen.
Ich finde nur die SMTP Brute Force Signatur nicht! Vielleicht heisst es anders. Werde weiter schauen und berichten.
Es gibt ein TLS.ROBOT.Attack > ich werde das ausprobieren
Danke für die Antwort.
R.
Ja. die IIS LOGs habe ich mir eigentlich ganz am Anfang angeschaut. Keine verdächtige Einträge. Habe mich ans OWA falsch angemeldet, der Eintrag war da, sonst keine. (Es ist eine kleine Umgebung)
Habe HTTPS Zugnag am UTM gestoppt, die Angriffe sind weitergegangen.
Erst als ich den SMTP Zugang am UTM gestoppt habe, war still. (Das kann ich mir aber nur kurze Zeit zum Testen leisten)
Der UTM Hersteller hat gesagt dass mitIPS diese Versuche abgefangen werden können. Ich kenne das von POP3 und IMAP.
(POP3.Login.Brute.Force, IMAP.Login.Brute.Force etc...)
Habe gerade jetzt entdeckt, dass ich sogar ein MS.OWA.Brute.Force Signatur habe
Es gibt sogar Telnet, SMB, RDP und Word Press Brute Force Attack Signaturen.
Ich finde nur die SMTP Brute Force Signatur nicht! Vielleicht heisst es anders. Werde weiter schauen und berichten.
Es gibt ein TLS.ROBOT.Attack > ich werde das ausprobieren
Danke für die Antwort.
R.
Zitat von @7Gizmo7:
Hi,
das ist auch keine SMTP sondern OWA Anmeldung. Hast du die IIS Logs bemüht ?
Da du den Port 443 ins Internet stellst, kannst du nur mit IP-Blocking arbeiten.
MfG
Hi,
das ist auch keine SMTP sondern OWA Anmeldung. Hast du die IIS Logs bemüht ?
Da du den Port 443 ins Internet stellst, kannst du nur mit IP-Blocking arbeiten.
MfG
Nein, wenn (u.a) Exchange Auth. auf SMTP liegt nicht unbedingt.
Viele Grüße,
Christian
Wie gesagt, sicher, dass es nicht das Grundrauschen ist.
-> Was verleitet dich zur Annahme, dass es ein Angriffsversuch ist?
Viele Grüße,
Christian
-> Was verleitet dich zur Annahme, dass es ein Angriffsversuch ist?
Viele Grüße,
Christian
HI,
Nein, wenn (u.a) Exchange Auth. auf SMTP liegt nicht unbedingt.
wäre der Connector mit Auth aber nicht ein anderer SMTP Port, der Standard Frontend ist mit Port 25 SMTP und anonymer Auth.
Und nur der hat er doch offen in der Firewall.
@RG2525 welche Auth sind denn aktiviert am Frondend SMTp Connector ? ..
Mfg
Nein, wenn (u.a) Exchange Auth. auf SMTP liegt nicht unbedingt.
wäre der Connector mit Auth aber nicht ein anderer SMTP Port, der Standard Frontend ist mit Port 25 SMTP und anonymer Auth.
Und nur der hat er doch offen in der Firewall.
@RG2525 welche Auth sind denn aktiviert am Frondend SMTp Connector ? ..
Mfg
Hi,
nein, nicht unbedingt, interessanterweise gibt es sogar die Möglichkeit anonym und auth. auf Port 25 zuzugreifen - zumindest lese ich die Doku so. Könnte RelayGründe haben (ohne Garantie.)
Viele Grüße,
Christian
nein, nicht unbedingt, interessanterweise gibt es sogar die Möglichkeit anonym und auth. auf Port 25 zuzugreifen - zumindest lese ich die Doku so. Könnte RelayGründe haben (ohne Garantie.)
Viele Grüße,
Christian
Hallo Christian,
Sie versuchen alle 10 Minuten mit marketing, editor, service, office, admin, sales, jennifer etc... (um ein paar Beispiele jetzt zu nennen)
Was meinst du mit Grundrauschen?
Grüße
R.
Sie versuchen alle 10 Minuten mit marketing, editor, service, office, admin, sales, jennifer etc... (um ein paar Beispiele jetzt zu nennen)
Was meinst du mit Grundrauschen?
Grüße
R.
Hi 7Gizmo7,
Default Einstellung (d.h. alle Auth sind aktiviert außer "Extern gesichert")
Grüße
R.
Default Einstellung (d.h. alle Auth sind aktiviert außer "Extern gesichert")
Grüße
R.
Gibt es die Nutzer?
Soll ich dir einen Screenshot schicken, wie viele Anfragen Tag aus Tag ein an normalen Anschlüssen anklopfen?
Soll ich dir einen Screenshot schicken, wie viele Anfragen Tag aus Tag ein an normalen Anschlüssen anklopfen?
Oh, verstehe.
Nein die Nutzer gibt es natürlich nicht!
Ich will halt nur alles mögliche unternehmen, um solche Angriffsversuche ins Leere zu führen...
Danke dann.
Ich werde kurz noch einmal mich melden und schreiben ob es mir gelungen ist sie zu stoppen...
Danke
R.
Nein die Nutzer gibt es natürlich nicht!
Ich will halt nur alles mögliche unternehmen, um solche Angriffsversuche ins Leere zu führen...
Danke dann.
Ich werde kurz noch einmal mich melden und schreiben ob es mir gelungen ist sie zu stoppen...
Danke
R.
Nein die Nutzer gibt es natürlich nicht!
dann wäre ich ziemlich entspannt. Ein IPS scheint ja vorhanden zu sein.
Gern.
Viele Grüße,
Christian