账号锁定原因查找?

maguoji

钉子大师：
exchange 2010 sp3 with 更新汇总17 ，最近发现有部分账号反复由于失败登录被锁定（设定了错误登录5次就锁定），查找系统安全日志，显示原因失败登录的进程是imap4.EXE ，但是在imap日志中根本找不到该用户登录的任何信息（用户本人表示未使用该协议），关闭该用户的imap登录属性，在系统安全日志中仍然出现使用imap4进程登录该用户失败的情况。因此目前不知道从何下手查找原因？也不能确定登录的来源是否攻击，从哪发起的？
请帮忙分析一下！谢谢

钉子

麻烦先检查一下这个IMAP4的进程是否为正常进程?停掉IMAP4的服务，这个进程还在吗?如果是IMAP4,为防止外部登录，可以从网关上限制IMAP4的端口，比如删除公外发布的端口。

maguoji

停掉服务，进程不在，打了汇总补丁18，确认该进程没有问题，防火墙关掉143，情况好很多，但仍有，主要不明白为何imap日志中没有任何信息，正常的访问是有日志的。目前将禁用时间改为30分钟来缓解访问问题

maguoji

经过仔细对比查找，发现日志中有记录，只是没有账号信息，只有下面信息
2017-11-21T01:55:54.981Z,0000000000000ACC,2,x.x.x.x:143,y.y.y.y:3681,,0,31,30,authenticate,plain,"R=""2 NO AUTHENTICATE failed."";Msg=AuthFailedogonDenied"
有的是这样，带着账号信息
2017-11-21T02:06:03.673Z,0000000000000AEA,6,x.x.x.x:143,y.y.y.y:57188,,15,42,267,authenticate,NTLM,"R=""A4 NO AUTHENTICATE failed."";RpcL=-1;LdapL=-1;Msg=AuthFailedogonDenied"
2017-11-21T02:06:03.767Z,0000000000000AEA,7,x.x.x.x:143,y.y.y.y:57188,,0,39,21,login,zzz@www.com*****,"R=""A5 NO LOGIN failed."";RpcL=-1;LdapL=-1;Msg=LogonFailedoginDenied"

可能带账号信息的记录是正常的？不带账号信息的属于破解的？不是很明白。

钉子

正常不正常，要结合客户端IP确认。