Exchange 2007 Queue full with fake domains

We have a SBS 2008 with Exchange 2007 SP3 Build 08.03.0444.000

The message queue is full of fake domains
We are not being black listed but ISP like bigpond are rejecting our emails because or senders score rate is below 20

We are using our own public IP address to send out emails as our ISP doesnt have a smtp relay
i have created a Dmarc record
Im not sure if i need a spf records as well

When we send emails to these domain names first we get a delayed bounce back after some time and then we get a failed email later after that

we use Trend Micro Worry Free Advance as a spam filter on the server
i have contacted the support department and they said the software only filters incoming emails not out going

I'm not sure on how to stop these fake domains coming into the queue
Exchange-Build-Number.JPG
Exchange-Queue-viewer.JPG
Fernando MarambioAsked:
Who is Participating?
I wear a lot of hats...

"The solutions and answers provided on Experts Exchange have been extremely helpful to me over the last few years. I wear a lot of hats - Developer, Database Administrator, Help Desk, etc., so I know a lot of things but not a lot about one thing. Experts Exchange gives me answers from people who do know a lot about one thing, in a easy to use platform." -Todd S.

MAS (MVE)EE Solution GuideCommented:
Hi dela,
This is internal spamming.
You configure an antispam for outgoing as well otherwise your IP will be blacklisted.

Clean your server. Install malwarebytes and cleanup server and check.
0
RoninCommented:
Ideally install Update Rollup 23 for Exchange Server 2007 Service Pack 3

You should create SPF, it will definitely help.

Run the following command to show existing Receive Connectors on the server:
Get-ReceiveConnector | fl

Open in new window

paste the results.

https://technet.microsoft.com/en-us/library/aa998618(v=exchg.80).aspx
0
Fernando MarambioAuthor Commented:
Thanks for the comments
below is the information from the command

also im running malware bytes now

MaxInboundConnectionPerSource           : unlimited
MaxInboundConnectionPercentagePerSource : 100
MaxHeaderSize                           : 64KB
MaxHopCount                             : 30
MaxLocalHopCount                        : 8
MaxLogonFailures                        : 3
MaxMessageSize                          : 150240KB
MaxProtocolErrors                       : 5
MaxRecipientsPerMessage                 : 5000
PermissionGroups                        : ExchangeUsers, ExchangeServers, Excha
                                          ngeLegacyServers
PipeliningEnabled                       : True
ProtocolLoggingLevel                    : None
RemoteIPRanges                          : {192.168.100.2-192.168.100.255, 192.1
                                          68.100.0-192.168.100.0}
RequireEHLODomain                       : False
RequireTLS                              : False
EnableAuthGSSAPI                        : False
ExtendedProtectionPolicy                : None
ExtendedProtectionTlsTerminatedAtProxy  : False
Server                                  : LIL-SYD-SVR01
SizeEnabled                             : EnabledWithoutValue
TarpitInterval                          : 00:00:05
AdminDisplayName                        :
ExchangeVersion                         : 0.1 (8.0.535.0)
Name                                    : Default LIL-SYD-SVR01
DistinguishedName                       : CN=Default LIL-SYD-SVR01,CN=SMTP Rece
                                          ive Connectors,CN=Protocols,CN=LIL-SY
                                          D-SVR01,CN=Servers,CN=Exchange Admini
                                          strative Group (FYDIBOHF23SPDLT),CN=A
                                          dministrative Groups,CN=First Organiz
                                          ation,CN=Microsoft Exchange,CN=Servic
                                          es,CN=Configuration,DC=lily,DC=local
Identity                                : LIL-SYD-SVR01\Default LIL-SYD-SVR01
Guid                                    : 839b328d-d5c4-435d-8fa6-9089587223f0
ObjectCategory                          : lily.local/Configuration/Schema/ms-Ex
                                          ch-Smtp-Receive-Connector
ObjectClass                             : {top, msExchSmtpReceiveConnector}
WhenChanged                             : 27/07/2016 12:24:15 PM
WhenCreated                             : 28/03/2011 3:33:10 PM
OriginatingServer                       : LIL-SYD-SVR01.lily.local
IsValid                                 : True

AuthMechanism                           : Tls
Banner                                  :
BinaryMimeEnabled                       : True
Bindings                                : {192.168.100.2:25}
ChunkingEnabled                         : True
DefaultDomain                           :
DeliveryStatusNotificationEnabled       : True
EightBitMimeEnabled                     : True
DomainSecureEnabled                     : False
EnhancedStatusCodesEnabled              : True
LongAddressesEnabled                    : False
OrarEnabled                             : False
Fqdn                                    : remote.domainname.com.au
Comment                                 :
Enabled                                 : True
ConnectionTimeout                       : 00:10:00
ConnectionInactivityTimeout             : 00:01:00
MessageRateLimit                        : unlimited
MaxInboundConnection                    : 5000
MaxInboundConnectionPerSource           : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize                           : 64KB
MaxHopCount                             : 30
MaxLocalHopCount                        : 8
MaxLogonFailures                        : 3
MaxMessageSize                          : 150240KB
MaxProtocolErrors                       : 5
MaxRecipientsPerMessage                 : 200
PermissionGroups                        : AnonymousUsers
PipeliningEnabled                       : True
ProtocolLoggingLevel                    : None
RemoteIPRanges                          : {192.168.101.0-255.255.255.255, 192.1
                                          68.100.254-192.168.100.254, 0.0.0.0-1
                                          92.168.99.255}
RequireEHLODomain                       : False
RequireTLS                              : False
EnableAuthGSSAPI                        : False
ExtendedProtectionPolicy                : None
ExtendedProtectionTlsTerminatedAtProxy  : False
Server                                  : LIL-SYD-SVR01
SizeEnabled                             : Enabled
TarpitInterval                          : 00:00:05
AdminDisplayName                        :
ExchangeVersion                         : 0.1 (8.0.535.0)
Name                                    : Windows SBS Internet Receive LIL-SYD-
                                          SVR01
DistinguishedName                       : CN=Windows SBS Internet Receive LIL-S
                                          YD-SVR01,CN=SMTP Receive Connectors,C
                                          N=Protocols,CN=LIL-SYD-SVR01,CN=Serve
                                          rs,CN=Exchange Administrative Group (
                                          FYDIBOHF23SPDLT),CN=Administrative Gr
                                          oups,CN=First Organization,CN=Microso
                                          ft Exchange,CN=Services,CN=Configurat
                                          ion,DC=lily,DC=local
Identity                                : LIL-SYD-SVR01\Windows SBS Internet Re
                                          ceive LIL-SYD-SVR01
Guid                                    : f28037af-681b-4304-afe0-182abf6c7af2
ObjectCategory                          : lily.local/Configuration/Schema/ms-Ex
                                          ch-Smtp-Receive-Connector
ObjectClass                             : {top, msExchSmtpReceiveConnector}
WhenChanged                             : 26/07/2016 5:01:00 PM
WhenCreated                             : 28/03/2013 9:32:27 AM
OriginatingServer                       : LIL-SYD-SVR01.lily.local
IsValid                                 : True

AuthMechanism                           : BasicAuth
Banner                                  :
BinaryMimeEnabled                       : True
Bindings                                : {127.0.0.1:25}
ChunkingEnabled                         : True
DefaultDomain                           :
DeliveryStatusNotificationEnabled       : True
EightBitMimeEnabled                     : True
DomainSecureEnabled                     : False
EnhancedStatusCodesEnabled              : True
LongAddressesEnabled                    : False
OrarEnabled                             : False
Fqdn                                    : LIL-SYD-SVR01.lily.local
Comment                                 :
Enabled                                 : True
ConnectionTimeout                       : 06:00:00
ConnectionInactivityTimeout             : 00:05:00
MessageRateLimit                        : unlimited
MaxInboundConnection                    : 5000
MaxInboundConnectionPerSource           : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize                           : 64KB
MaxHopCount                             : 30
MaxLocalHopCount                        : 8
MaxLogonFailures                        : 3
MaxMessageSize                          : 20240KB
MaxProtocolErrors                       : 5
MaxRecipientsPerMessage                 : 200
PermissionGroups                        : AnonymousUsers, ExchangeUsers
PipeliningEnabled                       : True
ProtocolLoggingLevel                    : None
RemoteIPRanges                          : {127.0.0.1-127.0.0.1}
RequireEHLODomain                       : False
RequireTLS                              : False
EnableAuthGSSAPI                        : False
ExtendedProtectionPolicy                : None
ExtendedProtectionTlsTerminatedAtProxy  : False
Server                                  : LIL-SYD-SVR01
SizeEnabled                             : Enabled
TarpitInterval                          : 00:00:05
AdminDisplayName                        :
ExchangeVersion                         : 0.1 (8.0.535.0)
Name                                    : Windows SBS Fax Sharepoint Receive LI
                                          L-SYD-SVR01
DistinguishedName                       : CN=Windows SBS Fax Sharepoint Receive
                                           LIL-SYD-SVR01,CN=SMTP Receive Connec
                                          tors,CN=Protocols,CN=LIL-SYD-SVR01,CN
                                          =Servers,CN=Exchange Administrative G
                                          roup (FYDIBOHF23SPDLT),CN=Administrat
                                          ive Groups,CN=First Organization,CN=M
                                          icrosoft Exchange,CN=Services,CN=Conf
                                          iguration,DC=lily,DC=local
Identity                                : LIL-SYD-SVR01\Windows SBS Fax Sharepo
                                          int Receive LIL-SYD-SVR01
Guid                                    : 69b81e2e-a85c-468d-8cce-ac3e1b96518d
ObjectCategory                          : lily.local/Configuration/Schema/ms-Ex
                                          ch-Smtp-Receive-Connector
ObjectClass                             : {top, msExchSmtpReceiveConnector}
WhenChanged                             : 20/04/2015 2:32:57 PM
WhenCreated                             : 28/03/2013 9:32:27 AM
OriginatingServer                       : LIL-SYD-SVR01.lily.local
IsValid                                 : True

AuthMechanism                           : Tls, Integrated, BasicAuth, BasicAuth
                                          RequireTLS, ExchangeServer
Banner                                  :
BinaryMimeEnabled                       : True
Bindings                                : {0.0.0.0:25}
ChunkingEnabled                         : True
DefaultDomain                           :
DeliveryStatusNotificationEnabled       : True
EightBitMimeEnabled                     : True
DomainSecureEnabled                     : False
EnhancedStatusCodesEnabled              : True
LongAddressesEnabled                    : False
OrarEnabled                             : False
Fqdn                                    : LIL-SYD-SVR01.lily.local
Comment                                 :
Enabled                                 : True
ConnectionTimeout                       : 00:10:00
ConnectionInactivityTimeout             : 00:05:00
MessageRateLimit                        : unlimited
MaxInboundConnection                    : 5000
MaxInboundConnectionPerSource           : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize                           : 64KB
MaxHopCount                             : 30
MaxLocalHopCount                        : 8
MaxLogonFailures                        : 3
MaxMessageSize                          : 1510240KB
MaxProtocolErrors                       : 5
MaxRecipientsPerMessage                 : 200
PermissionGroups                        : ExchangeUsers, ExchangeServers, Excha
                                          ngeLegacyServers
PipeliningEnabled                       : True
ProtocolLoggingLevel                    : None
RemoteIPRanges                          : {192.168.100.202, 192.168.100.200, 19
                                          2.168.100.201}
RequireEHLODomain                       : False
RequireTLS                              : False
EnableAuthGSSAPI                        : False
ExtendedProtectionPolicy                : None
ExtendedProtectionTlsTerminatedAtProxy  : False
Server                                  : LIL-SYD-SVR01
SizeEnabled                             : Enabled
TarpitInterval                          : 00:00:05
AdminDisplayName                        :
ExchangeVersion                         : 0.1 (8.0.535.0)
Name                                    : Printer Relay
DistinguishedName                       : CN=Printer Relay,CN=SMTP Receive Conn
                                          ectors,CN=Protocols,CN=LIL-SYD-SVR01,
                                          CN=Servers,CN=Exchange Administrative
                                           Group (FYDIBOHF23SPDLT),CN=Administr
                                          ative Groups,CN=First Organization,CN
                                          =Microsoft Exchange,CN=Services,CN=Co
                                          nfiguration,DC=lily,DC=local
Identity                                : LIL-SYD-SVR01\Printer Relay
Guid                                    : 74106d93-aa0a-4226-9779-0da429166bae
ObjectCategory                          : lily.local/Configuration/Schema/ms-Ex
                                          ch-Smtp-Receive-Connector
ObjectClass                             : {top, msExchSmtpReceiveConnector}
WhenChanged                             : 31/05/2017 11:47:44 AM
WhenCreated                             : 26/07/2016 4:48:48 PM
OriginatingServer                       : LIL-SYD-SVR01.lily.local
IsValid                                 : True

AuthMechanism                           : Tls, Integrated
Banner                                  :
BinaryMimeEnabled                       : True
Bindings                                : {0.0.0.0:587}
ChunkingEnabled                         : True
DefaultDomain                           :
DeliveryStatusNotificationEnabled       : True
EightBitMimeEnabled                     : True
DomainSecureEnabled                     : True
EnhancedStatusCodesEnabled              : True
LongAddressesEnabled                    : False
OrarEnabled                             : False
Fqdn                                    : remote.domainname.com.au
Comment                                 :
Enabled                                 : True
ConnectionTimeout                       : 00:10:00
ConnectionInactivityTimeout             : 00:05:00
MessageRateLimit                        : unlimited
MaxInboundConnection                    : 5000
MaxInboundConnectionPerSource           : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize                           : 64KB
MaxHopCount                             : 30
MaxLocalHopCount                        : 8
MaxLogonFailures                        : 3
MaxMessageSize                          : 10MB
MaxProtocolErrors                       : 5
MaxRecipientsPerMessage                 : 200
PermissionGroups                        : ExchangeUsers, ExchangeServers, Excha
                                          ngeLegacyServers
PipeliningEnabled                       : True
ProtocolLoggingLevel                    : None
RemoteIPRanges                          : {0.0.0.0-255.255.255.255}
RequireEHLODomain                       : False
RequireTLS                              : False
EnableAuthGSSAPI                        : False
ExtendedProtectionPolicy                : None
ExtendedProtectionTlsTerminatedAtProxy  : False
Server                                  : LIL-SYD-SVR01
SizeEnabled                             : Enabled
TarpitInterval                          : 00:00:05
AdminDisplayName                        :
ExchangeVersion                         : 0.1 (8.0.535.0)
Name                                    : POP3 Sending connector on Port 587
DistinguishedName                       : CN=POP3 Sending connector on Port 587
                                          ,CN=SMTP Receive Connectors,CN=Protoc
                                          ols,CN=LIL-SYD-SVR01,CN=Servers,CN=Ex
                                          change Administrative Group (FYDIBOHF
                                          23SPDLT),CN=Administrative Groups,CN=
                                          First Organization,CN=Microsoft Excha
                                          nge,CN=Services,CN=Configuration,DC=l
                                          ily,DC=local
Identity                                : LIL-SYD-SVR01\POP3 Sending connector
                                          on Port 587
Guid                                    : 84aa9889-2130-4ea0-bef4-201cfbd69fd6
ObjectCategory                          : lily.local/Configuration/Schema/ms-Ex
                                          ch-Smtp-Receive-Connector
ObjectClass                             : {top, msExchSmtpReceiveConnector}
WhenChanged                             : 16/06/2017 6:41:20 PM
WhenCreated                             : 2/06/2017 4:16:15 PM
OriginatingServer                       : LIL-SYD-SVR01.lily.local
IsValid                                 : True
0
Making Bulk Changes to Active Directory

Watch this video to see how easy it is to make mass changes to Active Directory from an external text file without using complicated scripts.

Fernando MarambioAuthor Commented:
Sorry i did have a SPF record

v=spf1 mx a ip4:PublicIPADDRESS ?all

v=DMARC1; p=none; sp=none; rua=mailto:MYEMAIL; ruf=mailto:MYEMAIL; rf=afrf; pct=100; ri=86400
0
MAS (MVE)EE Solution GuideCommented:
Scan your server first.
https://www.malwarebytes.com/

Ensure your server is not an open relay
https://mxtoolbox.com/diagnostic.aspx
0
Fernando MarambioAuthor Commented:
Hi Mas
I have ran malwarebytes and it only picked up the quarantine folder from Trend Micro

I also ran an open relay test and that came back good
I have attached screen shots
open-relay-test.JPG
malwarebytes-Scan.JPG
0
Arif KhanSystem AdministratorCommented:
You should register DKIM record also. Use DKIM generator and send record to your DNS provide.

In exchange 2010 two receive connector is created not sure about exchange 2007. Ensure Anynomous authentication is enabled only one single Default Connector. On the other only exchange users should be enabled. VERIFY. Or go to property of receive connector and attach screenshot
0
Arif KhanSystem AdministratorCommented:
Well I saw, you exchange is infected with viruses you need to remove this one first.
0
Fernando MarambioAuthor Commented:
Hi Arif
Thanks for your information
Do we need to subscribe to a DKIM signing provider?
or
Do i generate a DKIM key and add it to the public DNS TXT record and that's it
does anything need to be added to the exchange 2007 server ?
0
MAS (MVE)EE Solution GuideCommented:
What is the current situation?
0
Fernando MarambioAuthor Commented:
Hi Mas
Yesterday i scanned the server as mentioned above
i found a site suggesting to turn on recipient filtering
i turned that on but still had messages in queue so i suspended all the messages and removed them with out sending NDR
and the queue has not filled up since
But i'm not sure if that's fixed the problem because everyone in the office had shutdown there workstations for the weekend or not
recipient-filtering.JPG
0
MAS (MVE)EE Solution GuideCommented:
Delete the spam domains and monitor for any new emails coming.
Recipient verification will not allow malware to send email to server.
0

Experts Exchange Solution brought to you by

Your issues matter to us.

Facing a tech roadblock? Get the help and guidance you need from experienced professionals who care. Ask your question anytime, anywhere, with no hassle.

Start your 7-day free trial
Fernando MarambioAuthor Commented:
Hi Mas
Ok so  recipient filtering it only filters email into the server not going out of the server

So far nothing in the queue since i did delete the spam domains
it might be a workstation causing the problem ?
0
MAS (MVE)EE Solution GuideCommented:
-->it might be a workstation causing the problem ?
As recipient filtering was disabled there is chance workstation is infected.
0
Hemil AquinoNetwork EngineerCommented:
Hi, This happened to my back in 2014. The main reason you have those fake emails it's because a leak of a user account OR your server got hacked at some point.

Here is something you can do.

1- I don't remember the path for exchange 2007 but you need to go to the queue folder and delete all the files you see there. Dont worry if you deleted them they will re-create automatically, after doing that you need to restart the transport protocol.
Here is an example how the path looks like (C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue)

2- Change all the username and password if you can't find where the leak is coming from, but I'm sure the logs will tell you.

3-
Install an anti virus or anti malware followed by windows updates.

4- After doing all that keep monitoring the emails.
0
MAS (MVE)EE Solution GuideCommented:
Enogh information to confirm an answer
0
It's more than this solution.Get answers and train to solve all your tech problems - anytime, anywhere.Try it for free Edge Out The Competitionfor your dream job with proven skills and certifications.Get started today Stand Outas the employee with proven skills.Start learning today for free Move Your Career Forwardwith certification training in the latest technologies.Start your trial today
Software

From novice to tech pro — start learning today.

Question has a verified solution.

Are you are experiencing a similar issue? Get a personalized answer when you ask a related question.

Have a better answer? Share it in a comment.