企业在使用Exchange2003过程中,可能由于邮箱用户的电脑中病毒、木马或者用户邮箱密码密码太过简单,被不法分子截获用户邮箱和密码。
最后利用此邮箱用户验证通过Exchange2003服务器发送大量诈骗或垃圾邮件,对企业造成很大的损害。
不法分子比较聪明,他不会去直接利用这个邮箱用户发送垃圾邮件,那样很容易被察觉;而是用假冒的发件者地址(与服务器smtp验证时候才用被截获的真实邮箱用户),所以接下来就要找出真实的被利用用户,再禁用或者修改其密码才能得以制止。
1、修改SMTP协议的日志级别为“最高级”
打开“Exchange系统管理器”
双击“服务器”
在“服务器”下,右键单击 ServerName,然后单击“属性”
单击“诊断日志”选项卡。
单击左边的“MSExchangeTransport”。
单击右边的“SMTP 协议”。
在“日志级别”下,单击“最高级”。单击“确定”关闭“服务器属性”。
2、修改默认SMTP连接器的设置(此操作在找出被利用用户以后,请还原至初始配置)
定位到“连接器”,在默认SMTP连接器上右键,打开“属性”,在“地址空间”选项中修改如下图
再在“常规”选项里,设置智能主机,填写一个不存在的IP,IP需要用方括号括起来
3、重启“默认SMTP虚拟服务器”
4、如果用户正在被利用,那么到“队列”中,就可以看到此类垃圾邮件都已经堆积在这,可以看到详细信息:发件者都是冒充的。
5、打开系统管理工具中的“事件查看器”
可以看到有很多事件ID为1708的事件信息,查看详细就很容易发现是哪个真实用户被利用了。
如要彻底防止Exchange 2003被中继的情况,请移步至:https://www.hmjblog.com/email/1434.html
原文链接:Exchange2003找出被中继的用户,转载请注明来源!