最近我开始从我们的 Exchange 服务器收到 AOL 垃圾邮件反馈报告。经过调查,我发现数百条垃圾邮件通过我们的 Exchange 服务器转发。虽然我很难弄清楚原因。
跟踪日志显示了来自反向查找华盛顿特区的 IP 的每条垃圾邮件的接收和发送 SMTP 事件。
看来他们每隔一天晚上 2 点到 4 点就会攻击我们的服务器。每晚还会攻击不同的域名。
该垃圾邮件是从俄罗斯网站提取的图片。发件人和收件人的地址相同,目的是诱骗用户打开它。
我检查了我们的接收连接器和发送连接器配置,一切似乎都配置正确。我从 MXtools 运行了开放中继检查,结果通过了。我使用 smtp 工具尝试中继消息,但除非我进行了身份验证,否则无法成功。作为经过身份验证的用户,我能够将消息从外部地址中继到外部地址。
这让我相信垃圾邮件发送者是通过经过身份验证的用户 smtp 会话进行连接的。但是我完全不知道如何查看 Exchange 日志以查看他们以哪个用户进行身份验证,甚至不知道他们如何能够通过 Exchange 中继消息。
有人可以解释一下这个问题吗?
答案1
您应该有 2 或 3 个接收连接器。一个连接器不应选中任何身份验证选项,在端口 25 上运行,并绑定到您的外部 IP 地址以接收传入邮件。第二个连接器应绑定到端口 25 和/或 587 上的内部 IP 地址,需要身份验证,并限制为白名单内部 IP 或 IP 范围,供内部设备和服务(如扫描仪和监控软件)使用。第三个是可选的,在端口 587 上运行,需要身份验证和 TLS,并绑定到外部 IP,供您的外围员工使用。
现在,由于第一个接收连接器只允许匿名连接,它将自动禁止中继。这将解决您的问题,特别是如果您不启用我提到的第三个连接器。