我们有一个 Exchange 服务器 2003,并且我们的 IP 地址被列入黑名单。
当我检查 Exchange 服务器根目录中的队列文件夹时,有大量的传递状态通知(延迟/失败)电子邮件需要发送。电子邮件来自:[电子邮件保护]并发送到不同的电子邮件地址。
以前发生这种情况时,我看到当前会话中的 IP 地址(在我们网络之外)看起来像是罪魁祸首。所以我使用 Exchange 服务器中的连接过滤器将其添加到黑名单中。这次,当我检查当前会话时,没有活动连接。但仍然有很多电子邮件要从队列文件夹发送出去。我暂时禁用了 SMTP。
我读过关联如果我禁用“允许匿名访问”,那么我将无法接收来自互联网的传入电子邮件。在“中继限制”对话框中,列表中只有本地主机计算机。并且我已选中“允许所有成功验证的计算机”。
我如何才能知道是谁发送了垃圾邮件?
电子邮件内容示例:
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
[email protected]
标头:
From: [email protected]
To: [email protected]
Date: Mon, 27 Jan 2014 22:34:47 -0800
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="xxxxourdomain.com"
X-DSNContext: 7ce717b1 - 1194 - 00000002 - 00000000
Message-ID: <[email protected]>
Subject: Delivery Status Notification (Failure)
答案1
“以前发生这种情况时,我看到当前会话中的 IP 地址(我们网络之外)看起来像是罪魁祸首。所以我使用 Exchange 服务器中的连接过滤器将其添加到黑名单中。”
所以你的意思是,互联网上任何能找到你的邮件服务器的人都可以通过它发送邮件,除了你专门屏蔽的这个 IP 地址。这很糟糕,也是运行邮件服务器的错误方式。你必须默认禁止中继,并有选择地只允许你的内部网络和/或受信任的地址进行中继。
如果(大写的如果)如您上面的评论所述,您不是开放中继,那么该地址之前是如何通过您发送的?您的一个经过身份验证的发件人帐户可能已被盗用,但您应该在日志中看到这一点。
答案2
事实证明这是一个被盗用的帐户。其中一名用户(不再主动使用此电子邮件帐户)已被黑客入侵,并使用该帐户向 SMTP 服务器进行身份验证。我在事件查看器中启用 MsExchange Transport 的身份验证日志后发现了这一点。非常感谢 @Doon 提供的提示。