最近客户经常开始求助思威电邮,出现许多不存在的退信,把退信转给我们看了,我发现这些情况和以前看到的不太一样,这些服务器都没有开放中继。各种设置都正常,但仍在队列中发现大量的不明邮件。经过仔细分析,认为是由于帐号密码泄露或被盗用产生的。为了找到这些被盗用的帐号,我采取了以下措施:
1、先清除掉所有的外发邮件队类,方法是建立一个新的连接器,指向一个不存在的IP地址,这可以使分散的队列变成一行,接下来用删除命令删除队列里的邮件。
2、删除刚才建立的连接器。
3、在ESM的服务器属性里的诊断日志中开启MS EXCHANGE TRANSPORT里的SMTP PROTOCOL一项到MAX(最右边),重新启动SMTP服务器。
4、经过一段时间的运行,又在队列中发现了大量的外发邮件
5、从事件查看器里的查看事件来源为"SMTP PROTOCOL",ID为1706和1708的事件日志
6、从以上事件中找到被盗用的邮件帐号。
一般被利用发送垃圾邮件会存在两种情况,一种是冒充域名,但是发件人实际是不存在的,例如123@abc.com。这样的邮箱,@前面的数字可以不停的变化着,但是@后面的域名确实是邮箱服务器上面的域名。
另外一种情况是发件人实际是存在的,例如:allen.zhong@email-cm.com,但是因为账号密码较弱的原因,导致该账号被利用发送大量的垃圾邮件。
第一种情况一般的邮件服务器都可以通过设置外发SMTP认证的方式来解决问题,因为账号不存在,所以在后台数据库当中这个账号和密码的验证一般是通不过的。
第二种问题就要稍微复杂一些了,不过因为被盗号的账号通常会发大量的垃圾邮件,在某个时间段集中发送。数量非常多,所以我们可以通过海外邮件中继服务来监控外发的数量,从而找到该账号,通过对该账号的整改,解决账号弱密码的问题。