Notifications
Clear all
Topic starter
14. December 2023 14:37
Hallo zusammen,
ich versuche aktuell mir einen überblick zu verschaffen, wie ich herausfinde wer/welche IP oder was die Sperrung von AD Konten verursacht.
Ich sehe also an den DCs und am Exchange IDs mit 4625. Dort steht jedoch nur der Exchange Server als Quelle drin:
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: EXCHANGE$
Kontodomäne: UNSERE-DOMÄNE
Anmelde-ID: 0x3E7
Anmeldetyp: 8
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: office@contoso.com
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC0000064
Prozessinformationen:
Aufrufprozess-ID: 0x1e50
Aufrufprozessname: D:\Exchange Server\Bin\MSExchangeFrontendTransport.exe
Netzwerkinformationen:
Arbeitsstationsname: EXCHANGE
Quellnetzwerkadresse: -
Quellport: -
In welcher Log Datei vom Exchange finde ich jetzt heraus welcher PC oder welche IP diesen Eintrag hervorgerufen hat?
Der Exchange hängt hinter einer Sophos XG im MTA Modus mit WAF.
14. December 2023 18:37
Habt ihr Port 25 mit Authentifizierung oder 587 nach extern offen?
falls ja, würde ich auf eine fehlerhafte Konfiguration deines empfangsconnectors tippen.
dann mal auf allen connectors das logging aktivieren und man wird vermutlich dort den Verursacher finden.
Topic starter
15. December 2023 07:45
@norbertfe Ja 587 ist mit Authentifizierung offen, was auch gewollt ist. Aber danke für den Hinweis, dann schaue ich mir mal die Connector Logs an.