近來不止一次的看到和在MSN上接到關於EXCHANGE外發隊列出現較多廣告郵件的求助。我經過仔細分析。發現這些情況和以前看到的不太一樣,這些服務器都沒有開放中繼。各種設置都正常,但仍在隊列中發現大量的不明郵件。經過仔細分析,認爲是由於帳號密碼泄露或被盜用產生的。爲了找到這些被盜用的帳號。我採取了以下措施:
1、先清除掉所有的外發郵件隊類,方法是建立一個新的連接器,指向一個不存在的IP地址,這可以使分散的隊列變成一行,接下來用刪除命令刪除隊列裏的郵件。
2、刪除剛纔建立的連接器。
3、在ESM的服務器屬性裏的診斷日誌中開啓MS EXCHANGE TRANSPORT裏的SMTP PROTOCOL一項到MAX(最右邊),重新啓動SMTP服務器。
4、經過一段時間的運行,又在隊列中發現了大量的外發郵件
5、從事件查看器裏的查看事件來源爲"SMTP PROTOCOL",ID爲1706和1708的事件日誌
6、從以上事件中找到被盜用的郵件帳號。
附註:小的郵件服務器自exchange 5.5升級到exchange 2000以後,中繼的功能默認被關閉,所以垃圾郵件發送者在尋找轉發器的時候就會變得不是很容易,所以就會轉向獲取郵件服務器的帳號和密碼來發送大量的垃圾郵件,該文倒是給了一個很好的思路來解決這種問題!