近期发现Exchange2003-2010发空头邮件的问题

最近几天突然发现winmail、Exchange2003-2010有拥堵的对列,而且往往是成大批对列在排队。

现在有2种可能

  • 1、邮箱账户被利用了狂发垃圾邮件病毒邮件。会有大量的空头邮件

  • 2、邮箱的内部配置没有设置好,现提出以下解决方案供正在烦恼中的T哥们去解决

多次发现Exchange某个帐号被盗用,但发件人又是冒充的,我们日志里面看不到用户那里验证帐号,用户不能立即找到哪个帐号被盗用。

已经找到Exchange2003的方法,2007/2010,期待在测试确认一下。

1、先清除掉所有的外发邮件队类,方法是建立一个新的连接器,指向一个不存在的IP地址,这可以使分散的队列变成一行,接下来用删除命令删除队列里的邮件。(因为客户是用的我们中继,所以不用新建连接器,我们要做的是在防火墙上屏蔽客户IP,让他们邮件不能出来)

2、删除刚才建立的连接器。

3、在ESM的服务器属性里的诊断日志中开启MS EXCHANGE TRANSPORT里的SMTP PROTOCOL一项到MAX(最右边),重新启动SMTP服务器。

4、经过一段时间的运行,又在队列中发现了大量的外发邮件

5、从事件查看器里的查看事件来源为“SMTP PROTOCOL”,ID为1706和1708的事件日志

6、从以上事件中找到被盗用的邮件帐号。(Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was companyusername.)

操作明细:

一.开启日志功能

1.开启Exchange System Manager(EMS)

2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。

3.单击“Diagnostics Logging”(诊断日志)选项卡

4.单击选择左边“Services”栏的“MSExchangeTransport”

5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)

6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级)

7.单击“确定”窗口,完成设定。如下图:

(图一 Exchange 2003 Server的设定界面)

[caption id="attachment_1586" align="alignnone" width="479" caption="Exchange账号被盗发送空邮件"]Exchange账号被盗发送空邮件[/caption]

(图二 Exchange 2000 Server的设定界面)

[caption id="attachment_1587" align="alignnone" width="525" caption="exchange2003空头邮件解决方案"]exchange2003空头邮件解决方案[/caption]

二。如何看懂这些日志:

当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程序日志中看到与以下内容类似的事件(你可以通过“管理工具”->“事件查看器”来查看):

1.第一种日志情况

Event Type:Information

Event Source:MSExchangeTransport

Event Category:SMTP Protocol

Event ID: 1708

Date: 10/15/2004

Time:8:13:24 AM

User:N/A

Computer:SERVER

Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was companyusername.

在这个日志中,如果中继看起来是来自被攻击的帐户密码,请到 Active Directory“用户和计算机”中删除该帐户,或是禁用该帐户或者更改该帐户的密码。

2.第二种日志情况:

Event Type:Information

Event Source:MSExchangeTransport

Event Category:SMTP Protocol

Event ID: 1708

Date: 10/15/2004

Time:8:27:52 AM

User:N/A

Computer:SERVER

Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANYGuest.

在这个日志中说明,远程用户使用的是来宾帐户。请使用 Active Directory“用户和计算机”来禁用来宾帐户,注意是禁用,不是只更改来宾帐户的密码哦。

因为今天帮一个朋友远程检查一台Exchange Server,需要这方面的操作,所以简单的写了和大分享。请大家指正.....Exchange2010

精彩继续,好戏才刚刚开始,Show must go on!!