思威电邮LOGO
有退信,用中继
 
 
 
当前位置
文章正文
如何对Exchange SMTP身份验证记录进行分析
www.email-cm.com    2013-10-17 09:33:10    文字:【】【】【
摘要:如何对Exchange SMTP身份验证记录进行分析

 在Exchange Server的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号和是否被中继,特别是在发生SMTP队列存在大量待发不明邮件时,这种情况需要通过分析是系统中病毒,还是被人中继,而在你确认没有开始Exchange Server的中继,你就需要检查帐号是否被人盗用或是密码泄漏了.把SMTP验证过程记录下来可以帮助你,本文将说明如何启用应用程序日志来记录通过Exchange Server SMTP尝试验证过程(无论成功或是失败)及如何看懂这些日志:
 一.开启日志功能
 
1.开启Exchange System Manager(EMS)
2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。

3.单击“Diagnostics Logging”(诊断日志)选项卡
4.单击选择左边“Services”栏的“MSExchangeTransport”
5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)
6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级)
7.单击“确定”窗口,完成设定。如下图:

(图一 Exchange 2003 Server的设定界面)


 
(图二 Exchange 2000 Server的设定界面)

 
二。如何看懂这些日志:
    当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程序日志中看到与以下内容类似的事件(你可以通过“管理工具”->“事件查看器”来查看):
 
1.第一种日志情况
Event Type:Information
Event Source:MSExchangeTransport 
Event Category:SMTP Protocol 
Event ID: 1708 
Date: 10/15/2004 
Time:8:13:24 AM 
User:N/A 
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was company\username.
 
在这个日志中,如果中继看起来是来自被攻击的帐户密码,请到 Active Directory“用户和计算机”中删除该帐户,或是禁用该帐户或者更改该帐户的密码。
 
2.第二种日志情况:
Event Type:Information 
Event Source:MSExchangeTransport 
Event Category:SMTP Protocol 
Event ID: 1708 
Date: 10/15/2004 
Time:8:27:52 AM 
User:N/A 
Computer:SERVER 
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANY\Guest.
在这个日志中说明,远程用户使用的是来宾帐户。请使用 Active Directory“用户和计算机”来禁用来宾帐户,注意是禁用,不是只更改来宾帐户的密码哦。

浏览 (369) | 评论 (0) | 评分(0) | 支持(0) | 反对(0) | 发布人:管理员
将本文加入收藏夹
联系方式

电话:18321295370
传真:021-51684215
在线客服:点击这里给我发消息

邮件技术群:海外邮件退信

脚注信息

电话:021-54489915-8004    传真:021-51862615
Copyright(C)2001-2013 上海云盟信息科技有限公司 沪ICP备12048411号-1

 

Error: Fold (./) is not writable