经常有客户跟我反映,队列里塞满了邮件,但是他本人也是比较懂exchange,并没有开放exchange的中继功能,所以很纳闷,为什么仍然有大量的垃圾邮件队列呢?
我远程帮客户检查邮件服务器的时候发现这些情况和以前看到的不太一样,这些服务器都没有开放中继。各种设置都正常,但仍在队列中发现大量的不明邮件。经过仔细分析,认为是由于帐号密码泄露或被盗用产生的。既然我们知道了问题的原因,那就要找到解决问题的方法,要解决根本问题,就要找到这些被利用的账号,但是这些账号都隐藏的非常深,所以非常难找到。为了找到这些被盗用的帐号。我采取了以下措施:
1、先清除掉所有的外发邮件队类,方法是建立一个新的连接器,指向一个不存在的IP地址,这可以使分散的队列变成一行,接下来用删除命令删除队列里的邮件。
2、删除刚才建立的连接器。
3、在ESM的服务器属性里的诊断日志中开启MS EXCHANGE TRANSPORT里的SMTP PROTOCOL一项到MAX(最右边),重新启动SMTP服务器。
4、经过一段时间的运行,又在队列中发现了大量的外发邮件
5、从事件查看器里的查看事件来源为“SMTP PROTOCOL”,ID为1706和1708的事件日志
6、从以上事件中找到被盗用的邮件帐号。
通过上面的方法,我成功的找到了该客户的被利用账户,修改密码后,果然队列不再生成了,所以很多邮箱使用者习惯导致了邮箱被盗,因小失大,让自己的邮件服务器变成了别人的肉鸡。
思威电邮针对这种情况,专门推出了邮件中继服务监控产品,一旦出现账号被盗利用发送垃圾邮件的问题,第一时间就能获知,帮助客户大大提高了邮箱系统的安全性。