Exchange Server被Open Relay,查那一個帳號出事

版主: DarkSkyline

Exchange Server被Open Relay,查那一個帳號出事

文章門神 » 週三 2月 12日, 2014年 9:30 am

Exchange Server被Open Relay,查那一個帳號出事
這也是一個很快的方法

原文
http://www.emailsos.net/1585news.html

最近几天突然发现winmail、Exchange2003-2010有拥堵的对列,而且往往是成大批对列在排队。
现在有2种可能

■1、邮箱账户被利用了狂发垃圾邮件病毒邮件。会有大量的空头邮件
■2、邮箱的内部配置没有设置好,现提出以下解决方案供正在烦恼中的T哥们去解决


多次发现Exchange某个帐号被盗用,但发件人又是冒充的,我们日志里面看不到用户那里验证帐号,用户不能立即找到哪个帐号被盗用。

已经找到Exchange2003的方法,2007/2010,期待在测试确认一下。

1、先清除掉所有的外发邮件队类,方法是建立一个新的连接器,指向一个不存在的IP地址,这可以使分散的队列变成一行,接下来用删除命令删除队列里的邮件。(因为客户是用的我们中继,所以不用新建连接器,我们要做的是在防火墙上屏蔽客户IP,让他们邮件不能出来)
2、删除刚才建立的连接器。
3、在ESM的服务器属性里的诊断日志中开启MS EXCHANGE TRANSPORT里的SMTP PROTOCOL一项到MAX(最右边),重新启动SMTP服务器。
4、经过一段时间的运行,又在队列中发现了大量的外发邮件
5、从事件查看器里的查看事件来源为“SMTP PROTOCOL”,ID为1706和1708的事件日志
6、从以上事件中找到被盗用的邮件帐号。(Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was companyusername.)

操作明细:
一.开启日志功能

1.开启Exchange System Manager(EMS)
2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。
3.单击“Diagnostics Logging”(诊断日志)选项卡
4.单击选择左边“Services”栏的“MSExchangeTransport”
5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)
6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级)
7.单击“确定”窗口,完成设定。如下图:

(图一 Exchange 2003 Server的设定界面)


Exchange账号被盗发送空邮件

(图二 Exchange 2000 Server的设定界面)



exchange2003空头邮件解决方案


二。如何看懂这些日志:
当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程序日志中看到与以下内容类似的事件(你可以通过“管理工具”->“事件查看器”来查看):

1.第一种日志情况
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:13:24 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was companyusername.

在这个日志中,如果中继看起来是来自被攻击的帐户密码,请到 Active Directory“用户和计算机”中删除该帐户,或是禁用该帐户或者更改该帐户的密码。

2.第二种日志情况:
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:27:52 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANYGuest.

在这个日志中说明,远程用户使用的是来宾帐户。请使用 Active Directory“用户和计算机”来禁用来宾帐户,注意是禁用,不是只更改来宾帐户的密码哦。

因为今天帮一个朋友远程检查一台Exchange Server,需要这方面的操作,所以简单的写了和大分享。请大家指正…..Exchange2010
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
頭像
門神
 
文章: 6265
註冊時間: 週五 12月 8日, 2006年 11:10 am
來自: 台中
送出感謝: 16
擁有感謝: 0 次

回到 windows 作業系統

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 24 位訪客

cron