帮忙看看。

xuebozhou

126诡异问题，斑竹帮帮忙吧。最近有用户反映126的邮箱都发不出去。
上邮件服务器一看，吓一跳，队列1000多。
看下126，有400多封邮件排在里面，里面有90%是这样一个后缀的域名：@reverse.gdsz.cncnet.net
我只要把这些邮件一删，其他的队列邮件一下就出去了。
可第二天又有这样后缀的邮件了，126的邮箱又收不到公司发的邮件。又是超级长的队列。
大家看图
------------------------
还有要说的是，公司的邮件服务器地址曾经被列入了垃圾邮件黑名单，主要是因为这封邮件引起的。（来自中国发垃圾邮件联盟的描述）

证据信头
Return-Path: <lof**@reverse.gdsz.cncnet.net>
X-Original-To: hot**@mayfairshanghai.com
Delivered-To: webmast**@mayfairshanghai.com
Received: from xxxx.worldxxx.com.cn (xxxx.worldxxx.com.cn [xxxxx])
        by mail01.1stchina.cn (Postfix) with ESMTP id 488D8300253
        for <hot**@mayfairshanghai.com>; Wed,  8 Oct 2008 12:34:09 +0800 (CST)
Received: from xxxx.worldxxx.com.cn ([xx.xx.xx.) by xxxx.worldxxx.com.cn with Microsoft SMTPSVC(6.0.3790.3959);
         Wed, 8 Oct 2008 12:38:16 +0800
Received: from hylghuxn ([58.41.26.62]) by xxxx.worldxxx.com.cn with Microsoft SMTPSVC(5.0.2195.6713);
         Wed, 8 Oct 2008 12:38:12 +0800
From: "Rueiva" <lof**@reverse.gdsz.cncnet.net>
Subject: =?GB2312?B?yc+0ssjd0tfPwrSyxNE=?=
To: hot**@mail.hitianjin.com
Content-Type: text/plain;
        charset="GB2312"
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Date: Wed, 8 Oct 2008 12:38:22 +0800
Message-ID: <xxxxLOfYVWXm34L29Bd000008**@xxxx.worldxxx.com.cn>
X-OriginalArrivalTime: 08 Oct 2008 04:38:15.0464 (UTC) FILETIME=[ADD02280:01C928FF

[ 本帖最后由 xuebozhou 于 2008-11-26 15:42 编辑 ]
邮件队列.JPG (95.65 KB) 2008-11-26 15:05

reverse.gdsz.cncnet.net.JPG (80.01 KB) 2008-11-26 15:05

xuebozhou

说明下：
1、公司邮件服务器中继并没有打开
2、公司1000多条队列,90%的发件人是以@reverse.gdsz.cncnet.com为后缀的。
3、公司的邮件服务器好象没有做反向解析，会不会有问题？
4、以前没有出现过这种情况。

[ 本帖最后由 xuebozhou 于 2008-11-26 23:54 编辑 ]

liu

可能看下smtp日志能大概知道什么原因
有个疑问：你怎么知道126.com采用中国反垃圾邮件联盟的RBL。
倒是在spamhaus的黑名单中查到了58.251.230.136这个IP。

xuebozhou

原帖由 liu 于 2008-11-26 17:05 发表
可能看下smtp日志能大概知道什么原因
有个疑问：你怎么知道126.com采用中国反垃圾邮件联盟的RBL。
倒是在spamhaus的黑名单中查到了58.251.230.136这个IP。

查出反向解析的ip不是我公司的,我现在邮件队列里都是以@reverse.gdsz.cncnet.net为后缀的发件人,估计是被中继.
可我发现我的中继是默认值呀,仅以下列表和不管上表中如何设置,所有通过身份验证的计算机都可以进行中继,都是勾上了的.

是不是要把后面的勾去掉,我猜是不是有用户的密码被人家破解了.

xuebozhou

设置阻止@reverse.gdsz.cncnet.net域名后的smtp日志
这是我公司分支机构exchange服务器向总部邮件服务器（桥头堡）提交的日志，不太懂什么意思？
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x EHLO - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x X-LINK2STATE - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x MAIL - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x RCPT - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x XEXCH50 - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x - - 0
23:03:13 192.1x8.xx.x BDAT - 0
23:03:14 192.1x8.xx.x - - 0
23:03:14 192.1x8.xx.x QUIT - 0
23:03:14 192.1x8.xx.x - - 0

钉子

两种情况：

1.大量不是你公司发件人和收件人的邮件被定向的发到你的服务器上，你的服务器忙着退信。
2.你的用户可能被猜出密码，用来中继。