Hallo Liste, wir haben einen über Schulen ans Netz von der Telekom gesponserten DSL-Anschluss und eine Domain bei Strato, über die unser SlSS Mails abruft und verschickt. T-Online behauptet nun, über unseren Account würden wiederholt Mails mit Viren verbreitet und droht, den Account zu sperren. Nähere Angaben zu diesen Mails habe ich aber bislang nicht erhalten. Was kann ich vorsorglich dagegen tun - ausser den Mailserver ganz abzuschalten? MfG Engelbert Fell Gymnasium an der Gartenstrasse Mönchengladbach --- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.820 / Virus Database: 558 - Release Date: 20.12.2004
Engelbert Fell wrote:
Hallo Liste,
wir haben einen über Schulen ans Netz von der Telekom gesponserten DSL-Anschluss und eine Domain bei Strato, über die unser SlSS Mails abruft und verschickt. T-Online behauptet nun, über unseren Account würden wiederholt Mails mit Viren verbreitet und droht, den Account zu sperren.
Nähere Angaben zu diesen Mails habe ich aber bislang nicht erhalten. Was kann ich vorsorglich dagegen tun - ausser den Mailserver ganz abzuschalten?
Den Mailserver abschalten wird wohl nix bringen, denn wenn T-Online euch wegen Viren anschreibt, dann heißt es Viren werden von eurem Host aus verschickt (hat ja nix mit Strato zu tun). Evtl. hat ein PC in eurem Netzwerk nen Virus drauf und Masquerading ist aktiviert? Gruß Frank
On Wednesday 22 December 2004 13:19, Engelbert Fell wrote:
Hallo Liste,
wir haben einen über Schulen ans Netz von der Telekom gesponserten DSL-Anschluss und eine Domain bei Strato, über die unser SlSS Mails abruft und verschickt. T-Online behauptet nun, über unseren Account würden wiederholt Mails mit Viren verbreitet und droht, den Account zu sperren.
Nähere Angaben zu diesen Mails habe ich aber bislang nicht erhalten. Was kann ich vorsorglich dagegen tun - ausser den Mailserver ganz abzuschalten? Ich würde T-Com darum bitten dir ihre Logs zur Verfügung zu stellen. Wenn die T-Com von eurem Account spricht und eine Sperrung androht dann wird sie das auch belegen müssen, wenn es denn wirklich die T-Com war die sich bei dir gemeldet hat.
Und du brauchst unbedingt jemanden der dir als kompetenter Partner mit fundierten Netzwerk Sicherheits Kenntnissen zur Seite stehen kann wenn du selber nicht firm in der Materie bist. Eine Erfolg versprechende Quelle wäre mal in einer der LUGen in der Region zu Fragen ob jemand bereit und kompetent ist dir zu helfen. Wenn es jemand ist der ein GNU/Linux Firmennetz administriert ist das schon mal ein brauchbares Indiz dafür, dass er nicht ganz inkompetent ist. Bei einem zertifizierten MCSE wäre ich da schon mal seehhr vorsichtig... Ich würde mal vermuten das sich eine Windows Maschine aus deinem Netz mit irgendwelchem Dreck infiziert hat. Quelle dafür können irgendwelche obskuren Downloads oder aber Datenträger, CD's Disketten etc., gewesen sein die die freundlichen Anwender mit in die Firma, ähh, ich wollte Schule sagen (-;, geschleppt hat. Falls du den/die/das Delinquenten ausfindig machen kanns, ein ofizielles Teer und Feder Event oder öffentliches Daumenbreitschlagen könnte für die Zukunft hilfreich sein damit so etwas die nächste Zeit nicht nochmal geschieht. Oder dein lokaler Mail Server ist kompromittiert, was bei einer nicht vorhandenen oder schlecht administrierten Firewall durchaus geschehen sein kann. Das kannst du über eine Analyse des outgoing trafic direkt auf dem Mail Server fest stellen. Dann solltest du den Verkehr aus deinem Netz heraus einschränken in dem du alle ausgehenden Verbindungen sperrst und nur noch Verbindungen über einen Squid zulässt. Das solte man eigentlich immer tun, leider machen das nicht alle. Das Einschränken des outgoing trafic kann mit einer Firewall geschehen. Schau dir mal dazu firestarter an, es ist ein Gnome Frontend um iptables rules zu definieren und recht einfach ein zu richten. Guarddog ist eine weitere Anwendung für KDE die im Prinzip das gleiche erlaubt. Oder verwende die SUSE Firewall on CD, die ist allerdings für ungeübte alles andere als selbsterklärend. Du soltes ausserdem für die nächste Zeit den Verkehr der aus deinem Netz nach draussen gehst eingehend analysieren. Das kann mit mehreren Werkzeugen geschehen. Zum einen mit Snort / MySQL / ACID, damit kann man den Trafic auf suspekte Verbindungen analysieren. Und es gibt einiges an Log File Analysatoren die hilfreich sein können. Insgesammt wirst du nicht drum herum kommen dich in die Materie ein zu arbeiten. Als Stichwort mag dir DMZ (Demilitarisierte Zone) helfen um Howtos, Tutorials und Fachbücher zum Thema zu finden. Entsprechende brauchbare Schulungen dazu kann man mit 600,-EUR bis 800,-EUR pro Tag veranschlagen, für ein Wochenseminar etwa 2500,-EUR. Es gibt in der Villa Vogelsang immer mal wieder sehr gute Kurse zu akzeptablen Preisen auch zu dieser Thematik. Tschüss, Thomas
Guten Tag Engelbert Fell, einen ähnlichen Fall (nicht über SLSS) hatten wir auch. Unsere Maildomain für die Schule wird von Strato "gehostet". Die Mails werden über ein T-Online DSL-Verbindung geschickt. A) Der von T-Online genannte Account ist der von T-Online zur Verfügung gestellte Account (also Zugangskennung..@t-online.de), welcher NICHTS mit dem Strato-Account zu tun hat. Diese Mails sieht T-online gar nicht. B) Die über den SMTP-Server von T-Online verschickten Mails werden mit größter Wahrscheinlichkeit von einem wurm-verseuchten PC im Netz generiert und zum "Standard-SMTP-Gateway" der Internetverbindung also zu T-Online weitergeleitet. Sind nicht auf allen PC's aktuelle Virenscanner installiert ;-) . Ich tippe auf einen Hardwarerouter, in dessen IP-Netz der "kranke" PC arbeiten muss. C) Der SLSS hat nichts damit zu tun. Gruß und schöne Weihnachtstage (auch allen Anderen in der Liste) Michael Heinen am Mittwoch, 22. Dezember 2004 um 13:19 schrieben Sie:
Hallo Liste,
wir haben einen über Schulen ans Netz von der Telekom gesponserten DSL-Anschluss und eine Domain bei Strato, über die unser SlSS Mails abruft und verschickt. T-Online behauptet nun, über unseren Account würden wiederholt Mails mit Viren verbreitet und droht, den Account zu sperren.
Nähere Angaben zu diesen Mails habe ich aber bislang nicht erhalten. Was kann ich vorsorglich dagegen tun - ausser den Mailserver ganz abzuschalten?
MfG Engelbert Fell Gymnasium an der Gartenstrasse Mönchengladbach --- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.820 / Virus Database: 558 - Release Date: 20.12.2004
-- Mit freundlichen Grüssen Michael Heinen mailto:mjheinen@gmx.net
Am Mittwoch, 22. Dezember 2004 13:19 schrieb Engelbert Fell:
EF > Hallo Liste, EF > EF > wir haben einen über Schulen ans Netz von der Telekom gesponserten EF > DSL-Anschluss EF > und eine Domain bei Strato, über die unser SlSS Mails abruft und verschickt. EF > T-Online behauptet nun, über unseren Account würden wiederholt Mails mit EF > Viren EF > verbreitet und droht, den Account zu sperren. EF > EF > Nähere Angaben zu diesen Mails habe ich aber bislang nicht erhalten. Was EF > kann ich EF > vorsorglich dagegen tun - ausser den Mailserver ganz abzuschalten? EF > EF > MfG EF > Engelbert Fell EF > Gymnasium an der Gartenstrasse EF > Mönchengladbach EF > --- EF > Outgoing mail is certified Virus Free. EF > Checked by AVG anti-virus system (http://www.grisoft.com). EF > Version: 6.0.820 / Virus Database: 558 - Release Date: 20.12.2004 EF > EF >
Hallo Engelbert, dieses Problem hatte ich auch schon an 2 Schulen hier in Berlin. Es lag an einem Virenverseuchtem Rechner im Netzwerk. Du wirst wohl alle Rechner im Netz testen muessen um die Virenschleuder zu finden. Diesen dann bereinigen und ne Mail oder ein Fax an das Lila Grauen schicken (anrufen geht ja nicht dank fehlender Tel-Nummer) Gruß Lutz IT-Betreuer 10. G / 26. G / 28. G / 29.G / 34. G / 9. S
participants (5)
-
Engelbert Fell -
Frank Wein -
Lutz.Weber@t-online.de -
Michael Heinen -
Thomas Templin