思威电邮LOGO
有退信,用中继
 
 
 
当前位置
文章正文
Exchange Server 无中继出现大量外发邮件退信
www.email-cm.com    2013-10-31 16:58:48    文字:【】【】【
摘要:关于Exchange Server 无中继出现大量外发邮件退信

    最近客户经常开始求助思威电邮,出现许多不存在的退信,把退信转给我们看了,我发现这些情况和以前看到的不太一样,这些服务器都没有开放中继。各种设置都正常,但仍在队列中发现大量的不明邮件。经过仔细分析,认为是由于帐号密码泄露或被盗用产生的。为了找到这些被盗用的帐号,我采取了以下措施:
1、先清除掉所有的外发邮件队类,方法是建立一个新的连接器,指向一个不存在的IP地址,这可以使分散的队列变成一行,接下来用删除命令删除队列里的邮件。
2、删除刚才建立的连接器。
3、在ESM的服务器属性里的诊断日志中开启MS EXCHANGE TRANSPORT里的SMTP PROTOCOL一项到MAX(最右边),重新启动SMTP服务器。
4、经过一段时间的运行,又在队列中发现了大量的外发邮件
5、从事件查看器里的查看事件来源为"SMTP PROTOCOL",ID为1706和1708的事件日志
6、从以上事件中找到被盗用的邮件帐号。
     一般被利用发送垃圾邮件会存在两种情况,一种是冒充域名,但是发件人实际是不存在的,例如123@abc.com。这样的邮箱,@前面的数字可以不停的变化着,但是@后面的域名确实是邮箱服务器上面的域名。

     另外一种情况是发件人实际是存在的,例如:allen.zhong@email-cm.com,但是因为账号密码较弱的原因,导致该账号被利用发送大量的垃圾邮件。

      第一种情况一般的邮件服务器都可以通过设置外发SMTP认证的方式来解决问题,因为账号不存在,所以在后台数据库当中这个账号和密码的验证一般是通不过的。

     第二种问题就要稍微复杂一些了,不过因为被盗号的账号通常会发大量的垃圾邮件,在某个时间段集中发送。数量非常多,所以我们可以通过海外邮件中继服务来监控外发的数量,从而找到该账号,通过对该账号的整改,解决账号弱密码的问题。

浏览 (834) | 评论 (0) | 评分(0) | 支持(0) | 反对(0) | 发布人:管理员
将本文加入收藏夹
联系方式
联系电话:18321295370
微信客服:
QQ  客服:点击这里给我发消息
 
脚注信息

上海馨竺信息技术有限公司沪ICP备14043405号-3