ORF日志中很多Blacklisted by the DHA Protection Test记录

jingqing7 · 发表于 2010-7-27 09:06:45

各位大哥。现在我们网络用的是 Windows server 2003 + Exchange 2003 + ORF 的配置，今年年初刚开始安装ORF时，效果很好。每天的日志记录拦截4000条左右。最近一段时间，每天的拦截记录增加到了每天 20万到40万条。而且我发现其中 95%以上的记录 Message 里面是Blacklisted by the DHA Protection Test.且发件人和接收人都不为我公司域邮箱。我查找到了一个发件人和接收人都不为我公司邮箱但会话验证里面一个我们的用户，我更改该用户密码后。每天ORF记录里面还是有几十万条的 Blacklisted by the DHA Protection Test 记录，验证里面的用户均为正常的发送邮件，无用户密码外泄了. 关于Test 里面我们除了 External agents 未激活外，其它全部都激活了。请问各位我们的DHA为何拦截不属于我公司的邮件，我们是不是被中继了？我们公司现在并未收到很多垃圾邮件.

tdk · 发表于 2010-7-27 10:32:14

这是目录探测攻击吧，相当于要探测你们的用户
没用过 orf 具体不清楚

DHA：directory harvest attack，帐户搜集攻击

jingqing7 · 发表于 2010-7-27 11:19:40

哦，谢谢 tdk .

钉子 · 发表于 2010-7-27 11:29:29

Blacklisted by the DHA Protection Test，是配合Recipient Validation（收件人验证）使用的。我们知道Recipient Validation是对邮件收件人进行过滤，检查某邮件的收件人是否为本地收件人，如果收件人并不存在于服务器上，说明这封邮件是垃圾邮件。但是如果遇到字典攻击类的情况，也就是不断的试你的服务器是否有某一个用户，最终很有可能会试到。所以，ORF增加了Blacklisted by the DHA Protection Test ，这个过滤的原理是，当一个IP在180分钟内发了三次邮件，都不在服务器内，哪么，会将这信IP档掉，直接拒绝。默认是档14400分钟！

所以你这种情况只能说明有大量的垃圾件发到你服务器。但是ORF都成功阻档了。不用担心！

jingqing7 · 发表于 2010-7-27 11:53:16

每天20万封以上，可够让人心跳的。谢谢钉子.

tdk · 发表于 2010-7-27 11:57:50

被人盯上了，太猛了

xiaok6016 · 发表于 2010-8-22 05:35:05

这样的话，BadMail的容量还是会一直上升的。我公司的邮件服务器也有这问题，
请问这也是正常的吗？

钉子 · 发表于 2010-8-23 10:55:48

ORF对这类邮件是直接拒绝的，所以不会出现在的Badmail中。

		自动登录	找回密码
密码			会员注册

[求助] ORF日志中很多Blacklisted by the DHA Protection Test记录

回复 5楼 jingqing7 的帖子

回复 4楼钉子的帖子

回复 7楼 xiaok6016 的帖子

[求助] ORF日志中很多Blacklisted by the DHA Protection Test记录

回复 5楼 jingqing7 的帖子

回复 4楼 钉子 的帖子

回复 7楼 xiaok6016 的帖子

回复 4楼钉子的帖子