Exchange 2003 服务器被中继

sunny00701

公司服务最近队列中总是有非本域发出的邮件，这些邮件都是不请自到的商业邮件，起初我以为是中继不小心打开了，检查多次后发现中继是关闭的，但队列中还是有很多垃圾邮件，有时也会出现全由Postmaster发送的退信，这些退信也都是垃圾邮件，相关设置如下，请哪位仁兄指教一下，为什么关闭中继后服务器还会被中继，这种情况是否可以肯定是服务器被中继了，另外如何防止或避免。









[ 本帖最后由 tarian 于 2010-1-7 21:48 编辑 ]

tarian

偶帮你找到的解决方法：

此种状况有两种可能，一是内部账号密码泄露，服务器被垃圾邮件发送者用作中继服务器；其二有可能是外部发送过来的垃圾邮件，但是内部无法接收下来（内部不存在某些邮件地址），服务器会给垃圾邮件发送者发送NDR。

以上两种情况都可以造成大量队列堆积。针对第一种状况解决办法，你需要查看SMTP日志，检查是否某个邮件帐户在外大量发送垃圾邮件；第二状况种解决办法，如果没有购买第三方反垃圾邮件软件的话，建议你开启IMF过滤，可以起到一定作用。

引用WINOS中LIANGGJ的话：postmaster是退信来的。较像是帐号被盗用了。IMF在全局配置中，是个补丁来的，sp2就有了。


希望对你有帮助

钉子

没错，可能是性Tarian说的两种，但是我看了楼主的配置，针对第二个可能性可以排除，因为楼主已启用收件人筛选，并选上了”筛选不在目录中的收件人“。

所以第一个可能性最大，分析的方法很简单，你查一下邮件队列中除了postmaster的退信，有没有发件人和收件人都不是你公司地址的邮件队列。而且一般比较多，哪就可以确定是第一个可能。

解决办法是启用身份验证的诊断日志到最高级，查找Event ID: 1708 的事件日志。

joyp

1708事件日志中怎样判断帐号是被盗用的？

[ 本帖最后由 joyp 于 2010-1-6 12:40 编辑 ]

钉子

1708事件只记录验证用户的信息，不记得发送过程，所以结合队列中邮件提交时间或本身这个用户自己使用的协议和时间，比如这个用户从来都不在晚上11点发邮件或是从不用POP3+SMTP方式发邮件。

joyp

多谢钉子回复。

tarian

LZ的问题有进一步发展了吗？想知道最后解决了没有。

sunny00701

谢谢版主，我按照你说的方法排查了一下，因为IP被ISP封锁了十几个小时，现在ISP已经解封了，服务器似乎恢复正常，队列已经正常，但还是会有发件人为其他域的，邮件现在只有几十封，比之前少了很多，但似乎还在被中继。排查账号是否被泄露，在日志中并未发现有账号异常。IMF已经开启，但队列还没有恢复到正常。

sunny00701

问题终于解决了多谢各位的帮助。最后查出问题是有账号被盗用的，是一个很久都没有用的账号被盗用了，禁用后一切恢复正常，太高兴了，再次感谢各位的帮忙！

tarian

原帖由 sunny00701 于 2010-1-7 21:46 发表
问题终于解决了多谢各位的帮助。最后查出问题是有账号被盗用的，是一个很久都没有用的账号被盗用了，禁用后一切恢复正常，太高兴了，再次感谢各位的帮忙！

恭喜了

那我把你的帖子修改为“已解决”了