1781A - Frage zu möglichem Spamversender im LAN?

NettimNetz · Beitrag von **NettimNetz** » 29 Aug 2012, 14:30

Hallo,
ein Netzwerk mit ca. 20 Clients in einem Bürocenter
dynamische IPs (kann man aber zur Not ändern), VLANs per Switch, default Firewall am Router

Einer der PCs sendet Spam.

Gibt es eine Möglichkeit rauszubekommen welcher?

Wohlgemerkt, jedes Büro ist autark und verwendet seinen persönlichen Quark.

Danke für eure Tips!

Dr.Einstein · Beitrag von **Dr.Einstein** » 29 Aug 2012, 14:32

Einfach im Telnet

trace # ip-router

und sich angucken, von welcher IP-Adresse pro Sekunde 100 Anfragen für Port
25 auftauchen.

Gruß Dr.Einstein

NettimNetz · Beitrag von **NettimNetz** » 29 Aug 2012, 14:38

Und im Nachhinein? Wenn zB. der PC aus ist.
Welche Log Files müßte man ggf. aktivieren (mal von der Rechtslage abgesehen)

DANKE!

Dr.Einstein · Beitrag von **Dr.Einstein** » 29 Aug 2012, 14:48

Ich würde für diesen Fall eine Firewallregel erstellen, die nur auf den Port 25
getriggert ist und diese Daten z.B. an einen Syslogserver weiterleiten.

Gruß Dr.Einstein

Cytor · Beitrag von **Cytor** » 29 Aug 2012, 14:49

Hi,

du musst den Trace schon dauerhaft laufen lassen. Das wird auf dem Lancom nicht mitgeloggt.

Evtl. macht ein Packet Capture via LCOSCap am LAN-Interface des Routers mehr Sinn bzgl. Durchsuchbarkeit mit Wireshark.