exchange2k3服务器好像被中继了

leanneliang

我公司是用exchange 2003 ,有趋势的反垃圾邮件过滤器，exchange里有很多的邮件组，例如:group-P-A,其中的用户都是外部客户的Email地址。昨天发现group-P-A 向group-P-B发送邮件，因这两个组中的用户数量很多，造成外部客户收到了这样的垃圾邮件。查看邮件服务器的队列发现很异常，
队列里有很排队等待发送的邮件，双击其中一个队列发现有matt@ajaxtoolbox.com   ;r/sonchen@kimo.com （还有其他更多的异常地址）这样的地址再给外部的一些客户发送邮件，客户反映因打开这样的邮件造成电脑中毒了。而且主题都是Re:hi; Helo之类的主题。 这种情况可能是被中继了。
想附上图的，但是我截的图就是提示无效的图片格式，jpg,gif都无法上传。

各位谁有过类似的经历的 ，请帮帮我，万分紧急。多谢了 。

邮件内容如下：这个奇怪的地址向我公司内部的一个邮件组发送邮件，这个组里的所有客户都受到了 这样的垃圾邮件。

-----Original Message-----
From: r/sonchen@kimo.com [mailto:r/sonchen@kimo.com]
Sent: Tuesday, May 25, 2010 11:50 PM
To: p-2012@domainname.net
Subject: Re: Thank you for delivery

***********************
WORM_NETSKY.P was detected in the file (document.txt
.exe). The following action has been taken: remove
***********************

zgshqp

可以查一下邮件头,看发送的ip地址直接屏蔽.

钉子

中病毒也有可能的

leanneliang

现在先查查病毒， 我发现内部用户发给另外一个用户的邮件来源是 外部地址，存在欺骗

如何禁掉IP
在exchange里如何禁 还是在防火墙里禁掉？

钉子

如果来源IP是固定的IP，可以在防火墙上禁掉更好。
但要是不是固定的IP，又是通过了一个用户验证来发送，即把这个用户找出来，把它禁掉或是把密码改复杂一些。

leanneliang

服务器上装的是趋势杀毒软件，同时也有反垃圾邮件过滤软件，病毒文件虽然被过滤了，但是邮件还是发到用户邮箱了。
已经咨询过趋势，查杀病毒没有发现病毒。

经去用户邮箱查询 发现 内部的两个用户之间互发邮件A@domainname.net 发给B@domainname.net  但是查看来源ＩＰ竟然是外部的:61.226.248.151
还有bulk@tpts4.seed.net.tw 发给B@domainname.net 的邮件来源IP也是 61.226.248.151


但查看了另外一个用户的邮箱 xuwbatme@mail.online.cn  和kf126@188.com 都发了邮件给C@domainname.net(这是个邮件通讯组的地址），
造成了位于这个组里的很多用户都收到了这些病毒邮件，来源IP都是:61.226.248.82

看来发件人的来源不是同一个IP。
我跟踪了下日志，
内部那些邮件组都互发邮件，我已经做了限制，只允许接收来自身份验证的用户的，还是没有效果。


有谁还有办法的 ，提供下思路，多谢！

leanneliang

钉子 怎么看是通过一个用户验证的呢

young_089

关掉中继     

被中继很麻烦的

钉子

启了“身份验证”的最高诊断级别，查找事件日志中Event ID: 1708 的日志，看一下队列中的邮件提交的时间与这个日志相同或是相近的来确定是哪一个用户，然后禁用或是修改密码。

swim

最好的办法是在文体发生的时候抓取网络包。

1.下载NETMON 3.3
2.问题发生的时候抓取SMTP包
3.找到相互对应的SMTP会话，然后看他在AUTH LOGIN后用什么用户名验证的（这个通常是用BASE64加密，不过可以在线解密）
4.然后在看他MAIL FROM: 后输入的什么用户名（MAIL FROM后的用户名通常就是伪装的用户名）

这个方法很麻烦，但是是最准确的