在过去的几天里,每隔一段时间,就会有大量电子邮件被转储到我的 Exchange 2003 服务器上,并被转发出去,直到被列入所有地方的黑名单。
多年来从未发生过这样的事情,我不认为该服务器是开放中继。网上的在线测试表明它不是,配置如下:
- 在 smtp 属性窗口、访问选项卡、中继按钮上;选中“仅下面的列表”,列表为空,并选中“所有成功验证的计算机”。
- 在“身份验证”按钮上,所有三个身份验证选项均已启用。
我需要这台服务器将消息从内部网络中继到外部,但我也需要它将来自网络外部设备上的内部用户的消息中继到外部,而且我还需要外部服务器向内部用户发送电子邮件,所以我不知道如何进一步限制这些设置。
我怀疑要么是内部 PC 被感染,要么是用户帐户被盗用并从外部使用。我查看了日志,发现通信似乎来自外部,所以我认为后者是真的,但是,我似乎无法从日志中识别用于身份验证的用户,因此我可以更改他们的密码。
我以为我启用了所有相关的日志字段,而我得到的结果是:
2013-06-15 07:10:54 201.211.238.228 User MyServerName 192.168.0.1 EHLO - +User 250 0 304 9 2250 - -
2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 MAIL - +FROM:<[email protected]> 250 0 44 31 0 - -
2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 RCPT - +TO:<[email protected]> 250 0 32 29 0 - -
2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 DATA - <[email protected]> 250 0 122 1452 797 - -
2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 QUIT - User 240 5343 58 4 0 - -
发件人字段中的电子邮件不是内部域。
因此,我的主要问题是如何找出罪魁祸首。第二个问题是我是否应该以不同的方式配置中继,以避免发生这些问题。