nur noch halbierte DSL Bandbreie / merkwürdige Aktivität auf Server

[Blase]

Hallo allerseits,

seit einigen Tagen ist unsere Internetverbindung deutlich langsamer als sonst. Mein Down- und Upload laufen aktuell höchstens mit der Hälfte an Bandbreite gegenüber "normal". Gleichzeitig scheint mein Exchange Server äußerst aktiv zu sein, die Prozessorlast ist immer bei irgendwas zwischen 25 und 75 Prozenz, ohne dass ich wirklich einen "Schuldigen" ausmachen könnte im Bereich Prozesse. Ich habe auf dem Exchange in ner cmd mit "netstat" mal geschaut, was da so passiert. Allerdings werde ich von den Ergebnissen gradezu erschlagen. Ich weiß einfach nicht, wie ich jetzt da rangehen soll. Schaue ich mir die zugehörigen Prozesse an ("netstat -b") und google danach um herauszufinden, ob etwas dabei ist, was nicht sein sollte?

Auch ein Neustart des Exchange Servers brachte keine Verbesserung. Es ist ein Windows 2003 Standard Server, welcher in einer 2003er Domäne läuft. Auf dem Exchange läuft noch eine AV Lösung von Trend Micro und ein E-Mail Archivierungsprogramm von GFI. Der Exchange macht auch owa, also der IIS ist aktiv. Ich stelle mal das Ergebnis von "netstat" vom Exchange hier rein, vielleicht kann mir jemand von Euch ja genaueres dazu sagen:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP comserv:8017 comserv.domaene.local:44408 HERGESTELLT
TCP comserv:8017 comserv.domaene.local:47159 HERGESTELLT
TCP comserv:8017 comserv.domaene.local:47649 HERGESTELLT
TCP comserv:8017 comserv.domaene.local:47655 HERGESTELLT
TCP comserv:8017 comserv.domaene.local:48481 HERGESTELLT
TCP comserv:8017 comserv.domaene.local:48839 HERGESTELLT
TCP comserv:8017 comserv.domaene.local:50289 HERGESTELLT
TCP comserv:8018 comserv.domaene.local:53075 HERGESTELLT
TCP comserv:44408 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:47159 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:47649 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:47655 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:48481 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:48839 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:50289 comserv.domaene.local:8017 HERGESTELLT
TCP comserv:53035 comserv.domaene.local:8018 WARTEND
TCP comserv:53075 comserv.domaene.local:8018 HERGESTELLT
TCP comserv:https comserv.domaene.local:53033 HERGESTELLT
TCP comserv:691 comserv.domaene.local:1299 HERGESTELLT
TCP comserv:691 comserv.domaene.local:1331 HERGESTELLT
TCP comserv:691 comserv.domaene.local:1338 HERGESTELLT
TCP comserv:691 comserv.domaene.local:1350 HERGESTELLT
TCP comserv:1150 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:1168 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:1183 DOMSERV02:ldap SCHLIESSEN_WARTEN
TCP comserv:1190 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:1191 DOMSERV02:3268 SCHLIESSEN_WARTEN
TCP comserv:1192 DOMSERV02:ldap SCHLIESSEN_WARTEN
TCP comserv:1193 DOMSERV02:3268 SCHLIESSEN_WARTEN
TCP comserv:1217 192.168.100.13:1285 HERGESTELLT
TCP comserv:1217 BLA:1166 HERGESTELLT
TCP comserv:1217 192.168.100.54:1265 HERGESTELLT
TCP comserv:1217 NB09:53741 HERGESTELLT
TCP comserv:1217 NB09:56779 HERGESTELLT
TCP comserv:1217 NB04:49339 HERGESTELLT
TCP comserv:1217 NB03:51369 HERGESTELLT
TCP comserv:1217 NB03:51985 HERGESTELLT
TCP comserv:1217 NBVERTRIEBHH:49356 HERGESTELLT
TCP comserv:1299 comserv.domaene.local:691 HERGESTELLT
TCP comserv:1331 comserv.domaene.local:691 HERGESTELLT
TCP comserv:1338 comserv.domaene.local:691 HERGESTELLT
TCP comserv:1350 comserv.domaene.local:691 HERGESTELLT
TCP comserv:1405 DOMSERV02:1026 HERGESTELLT
TCP comserv:1471 DATASERVE:ms-sql-s HERGESTELLT
TCP comserv:1541 DOMSERV02:1026 HERGESTELLT
TCP comserv:3389 BLA:1728 HERGESTELLT
TCP comserv:14028 DOMSERV01:1026 HERGESTELLT
TCP comserv:24657 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:37028 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:38275 DOMSERV02:3268 HERGESTELLT
TCP comserv:38276 DOMSERV02:3268 HERGESTELLT
TCP comserv:38278 DOMSERV01:ldap HERGESTELLT
TCP comserv:38279 DOMSERV01:ldap HERGESTELLT
TCP comserv:38280 DOMSERV01:ldap HERGESTELLT
TCP comserv:38281 DOMSERV01:3268 HERGESTELLT
TCP comserv:38283 DOMSERV02:ldap HERGESTELLT
TCP comserv:38284 DOMSERV02:ldap HERGESTELLT
TCP comserv:38285 DOMSERV02:ldap HERGESTELLT
TCP comserv:38305 DOMSERV01:ldap HERGESTELLT
TCP comserv:38306 DOMSERV02:3268 HERGESTELLT
TCP comserv:38307 DOMSERV01:3268 HERGESTELLT
TCP comserv:38318 DOMSERV01:ldap HERGESTELLT
TCP comserv:38320 DOMSERV02:ldap HERGESTELLT
TCP comserv:38322 DOMSERV02:3268 HERGESTELLT
TCP comserv:38323 DOMSERV01:3268 HERGESTELLT
TCP comserv:38324 DOMSERV01:ldap HERGESTELLT
TCP comserv:38326 DOMSERV02:3268 HERGESTELLT
TCP comserv:38328 DOMSERV01:3268 HERGESTELLT
TCP comserv:38335 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:43675 DOMSERV02:ldap SCHLIESSEN_WARTEN
TCP comserv:45412 DOMSERV01:3268 HERGESTELLT
TCP comserv:45497 DOMSERV01:ldap SCHLIESSEN_WARTEN
TCP comserv:45706 DOMSERV02:ldap HERGESTELLT
TCP comserv:45707 DOMSERV02:ldap HERGESTELLT
TCP comserv:45708 DOMSERV02:ldap HERGESTELLT
TCP comserv:45709 DOMSERV02:ldap HERGESTELLT

Domserv01 ist der Domaincrontroller und DNS Server, Domserv02 ist der sekundäre DC/DNS, Comserv ist der Exchange und owa und Dataserv ist der SQL Server, in welchem z.B. das Archivierungsprogramm die Daten ablegt. Ist irgend eine Verbindung davon "auffällig"? Habe ich eine Spam-Schleuder am Start oder ist hier zumindest alles im Grünen Bereich?! Die komplette Virensuche auf dem System zeigte zumindest keine Auffälligkeit. Über Gedanken und Anregungen jeglicher Art wäre ich sehr verbunden!

MfG Blase

[Blase]

Was für Möglichkeiten habe ich, um meinen Server zu überwachen, also mit dem Hintergedanken, dass er aktuell als Spam-Schleuder mißbraucht werden könnte. Ich habe angefangen und die Clients, die in der Virenstatistik unseres AV Programms "führend" waren genauer geprüft. Den Exchange Server selbst habe ich einer online AV Prüfung von Kaspersky unterzogen. Jeweils ohne Resultat.
Vielleicht bietet Exchange 2003 selber eine Funktion, mit der ich überprüfen kann, welches Konto bzw. in wessen Namen hier E-Mails versendet werden. Bei unserem "Info-Postfach" laufen ständig solche E-Mails auf vonwegen Mailer-Daemon und unzustellbar. An dem PC, an welchem das Info Postfach genutzt wird scheint aber tatsächlich alles ok zu sein. Hier mal eine beispiel E-Mail:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

slavers3805@qwestinfo.com
SMTP error from remote mail server after RCPT TO:<slavers3805@qwestinfo.com>:
host smtp.where.secureserver.net [208.109.80.149]:
553 sorry, relaying denied from your location [80.67.29.23] (#5.7.1)

------ This is a copy of the message's headers. ------

Return-path: <Administrator@domäne.com>
Received: from [213.240.181.109] (helo=mail1.domäne.com)
by smtprelay09.ispgateway.de with esmtpa (Exim 4.68)
(envelope-from <Administrator@domäne.com>)
id 1JwHA3-0005pz-Oc
for slavers3805@qwestinfo.com; Wed, 14 May 2008 15:36:52 +0200
Received: from mail pickup service by mail1.domäne.com with Microsoft SMTPSVC;
Wed, 14 May 2008 15:35:08 +0200
x-endofinjectedxheaders:6313
Thread-Topic: Undeliverable: Adobe Fireworks CS3
Priority: normal
thread-index: Aci1x1Nv6pGR9tYCT4evPlS00C1Oqw==
From: "System Administrator" <administrator@domäne.local>
Sender: "System Administrator" <postmaster@domäne.local>
To: <slavers3805@qwestinfo.com>
Subject: Undeliverable: Adobe Fireworks CS3
MIME-Version: 1.0
Content-Type: multipart/report;
boundary="----=_NextPart_000_11D8F_01C8B5D8.16FAFCD0";
report-type=delivery-status
Content-Class: urn:content-classes:dsn
Importance: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4073
Message-ID: <COMSERVjhyMVYUQMcYG00000956@mail1.domäne.com>
X-OriginalArrivalTime: 14 May 2008 13:35:08.0536 (UTC) FILETIME=[53939780:01C8B5C7]
Date: 14 May 2008 15:35:08 +0200
X-Df-Sender: 434952

Ich tue mich schwer beim "lesen" einer solchen E-Mail. Sieht für mich doch erstmal so aus, als habe der betroffene User versucht eine E-Mail an slavers3805@qwestinfo.com zu senden und der Empfänger existiert nicht, bzw. ist nicht erreichbar. Soweit richtig? Natürlich hat der betroffene User diese E-Mail nicht geschrieben/versand. Was also kann ich jetzt annehmen? Verschickt der betroffene PC selbständig? Macht das der Exchange für das Postfach? Kann das jeder beliebige PC hier im Netz sein? Oder muss es garnicht zwingend hier im Netz schief laufen?
Bin für jeden Hilfsansatz dankbar!

MfG Blase