在过去的几天里,在特定的时间间隔,大量的电子邮件被转储到我的Exchange 2003服务器上,并被转发出去,直到它被列入黑名单。
这样的事情没有发生多年,我不认为服务器是一个开放的中继。 网上的在线testing说不是,configuration如下:
我需要这个服务器来把内部networking的消息转发到外面,但是我也需要把来自外部设备的内部用户的消息转发到外面,而且我还需要外部服务器给内部用户发送电子邮件,所以我没有看到我可以进一步限制这些设置。
我怀疑这是内部受感染的电脑,或者是外部使用中的用户帐户。 我查看了日志,看起来沟通来自外部,所以我认为后者是真实的,但是,我似乎无法识别用于从日志进行身份validation的用户,以便我可以更改他们的密码。
我以为我启用了所有相关的日志logging字段,这就是我得到的:
2013-06-15 07:10:54 201.211.238.228 User MyServerName 192.168.0.1 EHLO - +User 250 0 304 9 2250 - - 2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 MAIL - +FROM:<[email protected]> 250 0 44 31 0 - - 2013-06-15 07:10:55 201.211.238.228 User MyServerName 192.168.0.1 RCPT - +TO:<[email protected]> 250 0 32 29 0 - - 2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 DATA - <[email protected]> 250 0 122 1452 797 - - 2013-06-15 07:10:56 201.211.238.228 User MyServerName 192.168.0.1 QUIT - User 240 5343 58 4 0 - - from字段中的电子邮件不是内部域。
所以,我的主要问题是如何识别罪魁祸首。 第二个问题是如果我应该configuration不同的中继,所以这些问题不会发生。