看来我的网络上的某个地方有病毒,它正在通过我的 Exchange 服务器发送钓鱼电子邮件。我可以在消息跟踪中看到这些消息,并且看到许多 NDR 的 SMTP 错误和来自外部服务器的拒绝连接,但我没有看到任何 SMTP 身份验证,而且我的登录次数已达到 MAX。我如何才能找到受感染 PC 的 IP 或主机名?或者除了病毒之外还有其他解释吗?
服务器上的防病毒扫描没有问题。服务器不是开放中继。
谢谢
答案1
答案2
告诉您的防火墙丢弃发往除您的邮件服务器之外的所有主机的所有外发 SMTP 数据包。这将阻止任何可能受感染的工作站直接发送 SMTP 垃圾邮件。
您说您的邮件服务器不是开放中继,但您是否允许从 LAN 进行中继?很多人在设置 MFP、扫描仪等时都会这样做。您可以通过跳转到另一个工作站并执行以下操作进行测试:
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: [email protected]
rcpt to: [email protected]
如果您返回250 OK,则表示您允许中继,并且机器人可以轻松地将邮件从您的邮件服务器中继出去。
要找到发送垃圾邮件的工作站,请拿起笔记本电脑,安装 WireShark。将笔记本电脑连接到集线器(确保它是集线器),然后将防火墙上的 LAN 接口插入集线器端口 #2,然后将另一根电缆从集线器端口 #3 插入 LAN 接口。
点亮捕获,使用如下显示过滤器:
tcp.port eq 25 && src.ip != <your.mail.server.ip>
答案3
你能查看这些钓鱼邮件的邮件头吗?查找Received: from行。它会告诉你该邮件来自哪台计算机。
->> Received: from infected.computer ([192.168.1.X]) <<---
by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
答案4
检查收件人筛选功能是否已打开或关闭。如果已关闭,且 Exchange 配置为发送 NDR,则服务器可能会接受发送给不存在用户的邮件,从而导致队列中充满 NDR。
启用收件人过滤很可能可以防止这种情况发生。发送给不存在用户的邮件不会被 Exchange 接受。