近日某客户公司的邮件服务器是Exchange 2003突然开始有邮件发不出,也有些客户发来的邮件收不到,到Exhange系统管理器里面队列一看,有30000多封邮件.等待目录查找的2185,暂缓提交的3179,清除队列后又马上有近一万封进来,检查了SMTP中继,也只是允许我们内部和网可以中继。现在所有的邮件发不出,别人也发不进来。
上海思威电邮教你如何查那个IP发的垃圾邮件,或是那个IP发的呢?
操作系统:win2003 sp1
邮件服务器:Exchange 2003 SP2
处理周期:4小时
故障现象:
Exchange服务器队列中存在大量的外发垃圾邮件,队列多达1000多个,垃圾邮件总数近10万封,且均为Postmaster@xxx.com账号在发送,CPU占用率接近100%,内存剩余不足10M,员工收发邮件已经无反应。
处理步骤:
1.第一反应就是服务器被“劫持”了,立刻通过fortigate-100A防火墙查看目前对25端口的连接,并且通过dns定位,发现了几个IP地址来自美国,明显不正常,记录下这些IP,然后通过防火墙策略阻断这些IP对服务器的访问。
2.再次查看邮件服务器的流量,这次正常多了,但是队列中的垃圾邮件仍然在增长,BadMail目录下文件数十分庞大,进入Exchange系统管理器,停掉【默认SMTP虚拟服务器】,进入Queue目录,删除正在向外发送的垃圾邮件,重新启动默认SMTP虚拟服务器,此时队列里已经“清爽”多了,但是仍有几个顽固地址垃圾邮件数还在增长。
3.怀疑中继功能可能配置错误,立刻检查了下,没发现问题,保险起见,重新配置了一遍,又重启了SMTP服务。
4.Exchange系统管理器-路由组-连接器中,新建【临时SMTP连接器】,将所有外发邮件转移到99.99.99.99这个无效IP,重启SMTP服务后,新建的【临时SMTP连接器】队列开始起作用,不断刷新队列,直到10分钟后,该队列垃圾邮件数趋于稳定,这时直接用查找功能,全部delete,然后删除刚才新建的“临时SMTP连接器”,再次重启SMTP服务。
5.重命名BadMail目录(不要尝试进入后删除文件,因为数量太大,服务器会长时间无响应),再新建个BadMail目录。
6.再次查看Exchange系统管理器中队列信息,OK,一切正常。
7.打开smtp传输日志:Exchange系统管理器-管理组-第一个管理组-服务器-MAIL,右键-属性-诊断日志记录,选左侧的MSExchangeTransport,在右侧选择SMTP协议,等级选最高,剩下的就是查看系统的应用程序
日志,看看哪些账号有验证的异常。
最后总结一下,这次事件表明,新的攻击方式已经不仅限于被开放SMTP中继,很可能是某个合法用户账号被窃取或者枚举了密码,通过合法用户进行垃圾邮件发送是比较难预防和定位的,很多员工建立账户时喜欢用123这样的简单密码,这就留下了很大的隐患。
而且被中继之后IP会被许多国际rbl黑名单组织拉入黑名单,直接导致国外邮件的退信问题,所以思威电邮提供了海外邮件中继的解决方案,帮助客户解决类似的海外邮件退信问题,可以提供免费的试用,欢迎咨询。