ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 25627|回复: 17
打印 上一主题 下一主题

[技巧] 在ORF快速定位被用来中继的用户

[复制链接]
跳转到指定楼层
顶楼
发表于 2010-8-16 14:43:51 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
在已安装ORF测试版或是正式版的环境下,如果发现大量发送队列,发件人和收件均不是本域地址时,很有可能是某用户被他人用来中继垃圾邮件。查找方法如下:

1.打开ORF LOG Viewer。
2.载入最近的或是发生大量队列是期的LOG
3.以Message字段排序


4.查找Message为“Authenticated Session”,收件人和发件人都不是本域地址的LOG,双击打开。




5.其中Message下 Authenticated Session (User\xxx)中的XXX为被中继利用的用户,禁用,删除,或是修改些用户的密码为更复杂。





最后。如果有大量队列,建议对邮件队列进行清理。
沙发
发表于 2010-8-16 20:05:55 | 只看该作者
实在是太感谢了。。
藤椅
发表于 2011-4-14 15:42:48 | 只看该作者
不错的好方法。
板凳
发表于 2011-5-10 11:51:41 | 只看该作者

如果被中继不是用户,是组怎样解决

用lz的方法查了一下,发现被中继的是一个组,而不是用户,那该怎样处理呢?我将组加入了Sender Balcklist,但好像还有发信,崩溃,请指教!
报纸
 楼主| 发表于 2011-5-10 16:10:08 | 只看该作者
不可能是组的。如果可以你把验证的日志给提供一下。
地板
发表于 2011-5-11 12:22:46 | 只看该作者
钉子楼主,您好

我作了截图,因涉及单位的私隐,我把域名划了下,请不要介意



上图看到有hrd@域名.com.cn的地址,每天有很多这个地址发到外面的邮件,例如:yahoo.com、sina.com和其他很多古怪的域名地址,Blacklist也没用,因为从内部发出的,ORF好像放行的



看明细,发现验证用户为hrd,但是查找了域内,只有为hrd的安全通信组,已建立了Exchage 别名,请钉子楼主看看,谢谢了!

[ 本帖最后由 hfli0817 于 2011-5-11 12:36 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x
7
 楼主| 发表于 2011-5-11 13:44:49 | 只看该作者
直接在ADUC中用hrd搜索。即可。
8
发表于 2011-5-11 18:15:58 | 只看该作者
就是在 AD 用户和计算机找过了,就是只搜索到为hrd的组,其他都是*hrd的其他用户
9
 楼主| 发表于 2011-5-13 20:56:03 | 只看该作者
这样吧。你通过帖子下我的签名,用签名上的联系方式找我,我QQ远程帮你查。
10
发表于 2011-6-16 10:09:24 | 只看该作者
钉子大哥很热心助人!谢谢分享方法!
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-22 22:08

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表