Notes verschickt selbständig Emails von Benutzernamen aus, die nicht existieren

Hallo,

ich habe gerade ein äußerst schwerwiegendes Problem mit unserem Notes: Aus irgendeinem Grund verschickt Notes durchgehend Emails von Adressen aus, die nicht existieren.

Ein Beispiel: Unsere Firma hat die Adressen XXX@eberle-augsburg.de

Jetzt verschickt Notes plötzlich ständig Emails von, beispielsweise, Josef.Briggner@eberle-augsburg.de, oder von mahavaiea@eberle-augsburg.de ... und diese (sowie alle anderen) Benutzernamen, existieren bei uns gar nicht. Und niemand versendet sie.

Ich kann diese Emails beim Notes Admin in der Mailbox sehen und auch löschen, aber für jede gelöschte kommt eine neue mit einem anderen, nicht vorhandenen Benutzernamen. Noch dazu wachsen diese Emails in der Größe. Wenn ich kontinuierlich die F9-Taste drücke und aktualisiere, kann ich mitverfolgen, wie die Größe dieser Emails pro Sekunde um ein paar Byte zunimmt.

Irgendwie beschleicht mich hier ein akuter Virus-Verdacht. Hat jemand eine Idee, was da los sein könnte?

Schnelle Hilfe wäre nicht schlecht, da durch diese ständigen Emails keine echten Emails mehr nach außerhalb dringen ...

Dirk

>>Dann schalte zuerst mal den router so das er den tote emails nicht verarbeitet, danach kannst du die emails "untersuchen"

Wo kann ich denn das einstellen? Im Admin im Konfigurationsdokument habe ich unter Router nichts finden können.

>>das hört sich eher nach externe emails an die von irgendwelches spammer rein geschickt werden. Ich nehme dabei an das ihr den smtp versand bereits im griff habt...

wie meinst du das, wir hätten ihn im Griff? Wir versenden unsere Emails über SMTP, und das hat bis jetzt auch sehr gut funktioniert.

An Spam dachte ich auch schon, aber was noch sehr seltsam ist: Die Emails, die in der Mailbox liegen und alles blockieren, sind VON einem seltsamen Absender und gehen AN eben diesen gleichen seltsamen Absender, der von der Email-Adresse her hier in der Firma arbeiten müsste. Was aber nicht der Fall ist. Die Mails gehen also quasi niemals wirklich "raus" und blockieren deshalb alles.

An einen Agenten habe ich auch schon gedacht, aber wenn ich mir bei der Konsole mit: "tell amgr sched" die laufenden Agenten ansehe, gibt es dort keine.

Zudem ist keine von den neuen Adressen die selbe. Sie sind alle komplett anders, sowohl von der Zeichensetzung her (manche lauten NameNachname@..., andere Name.Nachname@..., es gibt welche mit Nachname@.... und auch nur Vorname@...) als auch von den Namen selbst.
Und es kommen immer wieder neue hinzu, alle paar Minuten einer. Wenn ich die alten rauslösche, kommen trotzdem wieder neue hinzu. Und immer verschiedene. Das macht mich stutzig.

Das Konfigurationsdokument habe ich jetzt dementsprechend geändert und gesichert, aber leider ist keine Besserung aufgetreten. Im Gegenteil, im Moment kommen pro Minute 10 - 15 neue Emails von immer neuen, unbekannten Absendern dazu.

Ob es etwas nützen würde, wenn ich den Dominoserver kontrolliert beende und neu starte?

Holja: Hab ich probiert, brachte aber keinen Erfolg.

Ich weiß nun auch warum: Es ist wohl der Bugbear.B Virus, der sich irgendwie bei uns eingeschmuggelt hat. Ich habe einen neuen Thread aufgemacht, in dem alle weiteren Informationen stehen.

Tja, mittlerweile bin ich ziemlich sicher, dass es nicht der Bugbear ist, sondern ein ganz neuer Virus. Denn die Betreffzeilen aus den Emails finden sich im gesamten Internet nicht wieder.
Und egal, mit welchem Bugbear Terminator ich meine Rechner scanne, sie sind alle clean. Auch mein Norton Anti-Virus mit dem neuesten Pattern sagt mir, dass das gesamte Netz sauber ist.

eben deshalb denke ich ja auch, dass es nicht Bugbear ist, sondern ein völlig anderer, neuer Virus.

Nein, das kann leider auch nicht sein. Ich habe schon die Verbindung zum Internet gekappt und auch sonst alle Netzwerkverbindungen, so dass wirklich nur noch der NT-Server, der Domino-Server und die AS400 liefen. Trotzdem hagelten die Emails weiterhin. In den ReceivedFrom-ID's hab ich auch eine IP Adresse gefunden und natürlich gesperrt, was aber auch keinen Erfolg brachte.

Hallo Markus,

>>Wie kann eine Email mit externer Adresse in die Mail.box gelangen wenn die Internetverbindung gekappt ist?

gute Frage, auf die ich leider keine Antwort geben kann. Zumal ich seit Mittwoch letzter Woche wie ein verrückter danach suche.

>>Kannst du uns mal deine externe IP geben? Dann kann ich mal deine Verbindung prüfen.

Unsere IP ist: 217.5.152.230

>>Ich glaube nicht an die Theorie mit dem Virus. Dieser Virus wäre dann so neu das er nur bei dir aufgetreten ist und sich nicht verbreitet.

Ich ja langsam auch nicht mehr. Wenn's einer wäre, müsste er spätestens jetzt bekannt sein.

>>Die Relay-Theorie sollte gnauer überdacht werden. Außerdem würde ich gerne mal eine dieser Emails Analysieren.

Du darfst gerne eine analysieren. Nur wie soll ich sie dir am besten zukommen lassen bzw. wie wäre es am geschicktesten zu bewerkstelligen?

>>Wenn du keine Lösung findest kann ich dir vieleicht vor Ort helfen.

Das wäre dann vielleicht die letzte Lösung, aber wenn sie funktioniert, wäre sie super. Wo wohnst du denn?

tschau, Dirk

Ganz dumme Frage von einem Aussenstehenden, der die Diskussion hier verfolgt und dem das alles irgendwie bekannt vor kommt....:
Du schreibst, dass du alle Connections in's Internet gekappt hast und nur noch der NT-, Domino und AS400-Server miteinander plaudern. Was rennt auf dem NT-Server? Ist das möglicherweise ein aufgelassener Exchange-Hobel?? Bei NT hätten wir die Bugbear-Anfälligkeit ja voll gegeben!
Wie gesagt, war nur ein Hinweis, den du wahrscheinlich eh schon gecheckt hast...
good luck!