近日某客户公司的邮件服务器是Exchange 2003突然开始有邮件发不出，也有些客户发来的邮件收不到，到Exhange系统管理器里面队列一看，有30000多封邮件.等待目录查找的2185，暂缓提交的3179,清除队列后又马上有近一万封进来，检查了SMTP中继，也只是允许我们内部和网可以中继。现在所有的邮件发不出，别人也发不进来。

   上海思威电邮教你如何查那个IP发的垃圾邮件，或是那个IP发的呢？
操作系统：win2003 sp1
邮件服务器：Exchange 2003 SP2
处理周期：4小时
故障现象：
    Exchange服务器队列中存在大量的外发垃圾邮件，队列多达1000多个，垃圾邮件总数近10万封，且均为Postmaster@xxx.com账号在发送，CPU占用率接近100%，内存剩余不足10M，员工收发邮件已经无反应。

处理步骤：
  1.第一反应就是服务器被“劫持”了，立刻通过fortigate-100A防火墙查看目前对25端口的连接，并且通过dns定位，发现了几个IP地址来自美国，明显不正常，记录下这些IP，然后通过防火墙策略阻断这些IP对服务器的访问。
  2.再次查看邮件服务器的流量，这次正常多了，但是队列中的垃圾邮件仍然在增长，BadMail目录下文件数十分庞大，进入Exchange系统管理器，停掉【默认SMTP虚拟服务器】，进入Queue目录，删除正在向外发送的垃圾邮件，重新启动默认SMTP虚拟服务器，此时队列里已经“清爽”多了，但是仍有几个顽固地址垃圾邮件数还在增长。
  3.怀疑中继功能可能配置错误，立刻检查了下，没发现问题，保险起见，重新配置了一遍，又重启了SMTP服务。
  4.Exchange系统管理器-路由组-连接器中，新建【临时SMTP连接器】，将所有外发邮件转移到99.99.99.99这个无效IP，重启SMTP服务后，新建的【临时SMTP连接器】队列开始起作用，不断刷新队列，直到10分钟后，该队列垃圾邮件数趋于稳定，这时直接用查找功能，全部delete，然后删除刚才新建的“临时SMTP连接器”，再次重启SMTP服务。
  5.重命名BadMail目录（不要尝试进入后删除文件，因为数量太大，服务器会长时间无响应），再新建个BadMail目录。
  6.再次查看Exchange系统管理器中队列信息，OK，一切正常。
  7.打开smtp传输日志：Exchange系统管理器-管理组-第一个管理组-服务器-MAIL，右键-属性-诊断日志记录，选左侧的MSExchangeTransport,在右侧选择SMTP协议，等级选最高，剩下的就是查看系统的应用程序
日志，看看哪些账号有验证的异常。

    最后总结一下，这次事件表明，新的攻击方式已经不仅限于被开放SMTP中继，很可能是某个合法用户账号被窃取或者枚举了密码，通过合法用户进行垃圾邮件发送是比较难预防和定位的，很多员工建立账户时喜欢用123这样的简单密码，这就留下了很大的隐患。

     而且被中继之后IP会被许多国际rbl黑名单组织拉入黑名单，直接导致国外邮件的退信问题，所以思威电邮提供了海外邮件中继的解决方案，帮助客户解决类似的海外邮件退信问题，可以提供免费的试用，欢迎咨询。