今天早上我遇到了一个奇怪的情况,我希望有人能帮我弄清楚发生了什么。
一位用户抱怨今天早上被锁定。重置密码后,我们发现该帐户几乎立即再次被锁定。我们查看了审计日志,发现请求来自我们的 Exchange 服务器 - 这是我以前从未见过的。
我们查看了 OWA 日志,发现其中没有与该用户名对应的条目。我们禁用了 OWA、ActiveSync、MAPI 等,但该帐户仍然被锁定。
查看 Exchange 服务器上的事件查看器日志后,我们发现了此条目。
接收连接器默认 EMAILSERVER 的入站身份验证失败,错误为 LogonDenied。身份验证机制为登录。尝试向 Microsoft Exchange 进行身份验证的客户端的源 IP 地址是 [XX.XX.XX.XX]。
由于无路可走,我们将来自该 IP 地址的流量封锁,账户锁定也随之终止。这是一个公共 IP 地址,解析到了一个我预计不会收到太多邮件的国家/地区。
我的问题是:
- 此 IP 地址如何尝试进行身份验证?我无法在我的日志中看到任何与他们尝试登录的向量相关的信息。
- 我如何防止这种情况再次发生?这是 Exchange 2010 SP3,不幸的是,边缘传输目前不是一个可行的选择 :(
答案1
“接收连接器”是指 SMTP。请查看您的传输连接器日志。
除非有充分理由,否则不应让 Exchange 用户验证外部 SMTP 连接器的身份。这样可以避免发生此问题。
你应该有:
- 一个接收连接器专用于从互联网接收电子邮件,且仅启用 TLS(可能还有 Mutual TLS Auth)。
如果您还有其他需要 SMTP 的东西,那么您应该有更多的连接器:
- 如果您的网络内有需要发送给用户的设备(如复印机/扫描仪),那么您应该有一个连接器。该连接器应启用 TLS 和身份验证,但仅限于特定服务帐户。
- 如果您有不支持身份验证或 TLS 的内部设备,则应为另一个连接器配置 IP 限制。
- 需要通过经过身份验证的 SMTP 发送的外部用户应该在不同的端口(通常为 587)上,并且需要使用 TLS。