我有一台 Exchange Server 2010,它使用智能主机发送邮件。一天前,智能主机的所有者联系我们,告诉我们我们发送了垃圾邮件。
我尝试了网络上不同的开放中继测试,所有测试都表明该服务器是安全的,不能用作中继服务器。但我可以在 Exchange 队列查看器中看到它不断收到新消息。以下是它的示例。
Identity: mailserver\3874\13128
Subject: Olevererbart:: [email protected] Pfizer -75% now
Internet Message ID: <[email protected]>
From Address: <>
Status: Ready
Size (KB): 6
Message Source Name: DSN
Source IP: 255.255.255.255
SCL: -1
Date Received: 2010-12-09 21:46:22
Expiration Time: 2010-12-11 21:46:22
Last Error:
Queue ID: mailserver\3874
Recipients: [email protected]
我怎样才能更好地保护我们的交换服务器,以防止这种情况发生?
我是否感染了病毒,该病毒会连接到我们的 Exchange 服务器并通过其发送邮件?
如我所见,发件人地址始终是<>,有什么方法可以让我停止发送没有我所描述的发件人地址的邮件吗?
请帮忙
答案1
由于您已经尝试过从互联网进行开放中继测试,这意味着它是内部网络上的一台计算机发送垃圾邮件。它很可能是一台被感染了病毒的机器,因此也需要紧急解决。
在我看来,您有一个接收连接器,它的设置允许从网络内部进行开放中继(这就是外部测试没有发现它的原因)。
邮件跟踪日志应该会告诉您邮件是通过哪个接收连接器接收的,因此您需要查看该接收连接器的属性并使其更加严格。使用Get-MessageTrackingLog -MessageId "<<Spam Message ID>>" |ft MessageId, ConnectorIdExchange 命令行管理程序中的命令来获取它正在通过的接收连接器。
我的猜测是您的接收连接器设置为接受来自整个内部网络(例如 10.1.1.1 到 10.255.255.255)的邮件,而不是需要发送未经身份验证的电子邮件的特定 IP 地址。
标准做法是保留安装 Exchange 时创建的接收连接器,并使用以下设置创建一个新的接收连接器(例如“允许匿名中继”)。
- 在网络选项卡,监听端口 25 上所有可用的 IP 地址
- 在网络选项卡,添加任何需要发送未经身份验证的邮件的 IP 地址(打印机、Web 服务器、监控软件等)
- 在验证选项卡,取消勾选除外部安全(例如,使用 IPSec)
- 在权限组选项卡,取消勾选除Exchange 服务器
编辑:抱歉!在最后一行,我说了取消勾选所有选项,除了匿名用户- 我的意思是取消勾选除Exchange 服务器。 我的错 :'(
答案2
如果您的中继配置正确,但未配置为开放中继,则最有可能是以下情况之一:
- 被盗用的用户账户正在连接到可公开访问的 SMTP 服务、进行身份验证并发送垃圾邮件
- 网络上授权通过 Exchange 中继未经身份验证的邮件的服务器受到威胁,并通过 Exchange 服务器发送垃圾邮件
- 如上所述,但使用台式机
无论如何,您都需要检查传递报告中该电子邮件的目标地址,该地址应该为您提供该邮件的发送用户和发起系统的信息。
答案3
您启用了哪些客户端协议?它们是否都配置为在接受外发电子邮件之前需要进行客户端身份验证?
你还应该调查一下Exchange 反垃圾邮件功能。
答案4
我遇到了同样的问题。这是由于网络中的一台计算机发送了垃圾邮件。很难找到这台计算机,但我能够以稍微不同的方式找到它。这是找到罪魁祸首的一种方法。这将使网络暂时瘫痪。
获取并安装Wireshark在一台你不介意丢失一段时间的电脑上。获得一个 HUB(是的,那些旧的网络设备之一 :) )。重要的是这是一个集线器,因为它会将所有流量转发到所有端口。将集线器连接到网络和调制解调器之间。将计算机连接到Wireshark到中心。如下所示
互联网-----集线器----WireShark 计算机和交换机
现在当你打开Wireshark开始捕获后,您将获得所有网络流量。我设置了捕获过滤器以忽略除 25 之外的所有端口,并且我知道所有 IP 都可以。