Wenn sich die Queue des Exchange Servers mit Mails an unbekannte Empfänger füllt und diese Mails oftmals auch gar nicht zugestellt werden können, kann es sich um eine Backscatter Attacke handeln.
Normalerweise akzeptiert ein Exchange Server alle E-Mails ohne Prüfung, ob es den Empfänger tatsächlich im Unternehmen gibt. In einem weiteren Schritt wird dann erst die Empfängeradresse geprüft und falls sie nicht existiert, geht ein Non-Delivery-Report (NDR) an den Absender der Mail zurück.
Der Gedanke dahinter ist, dass damit Directory-Harvesting Attacken das Leben schwerer gemacht werden, Spammer sollen so nicht einfach in der Lage sein durch automatisierte Abfragen zu erkennen welche Adressen es tatsächlich gibt. Allerdings ermöglicht das auch gleichzeitig so genannte Backscatter Attacken: Der Absender einer Spam Mail wird gefälscht, die Mail geht an eine nicht existente Adresse an den Exchange Server, dieser nimmt die Mail an und beantwortet sie mit einer NDR Mail an den vermeintlichen Absender der Mail. Der Exchange Server wurde somit zur Spamschleuder. Oft führt das dann zu überfüllten Mail Queues und einer schlechteren Reputation des Servers bei diversen Anti-Spam Anbietern.
Ein schneller Workaround kann hier das Deaktivieren der NDRs sein. Absender erhalten einfach keine Benachrichtigung mehr, wenn eine Mail nicht zugestellt werden konnte. Das ist allerdings nur eine Quick & Dirty Lösung und ersetzt keine professionelle Anti-Spam Lösung. Denn jetzt werden Absender auch nicht mehr Benachrichtigt, wenn das Postfach des Empfängers voll ist. Wichtige Nachrichten könnten so verloren gehen!
set-RemoteDomain "Default" -NdrEnabled $false