最近我开始接收来自我们交换服务器的AOL垃圾邮件反馈报告。 正如我调查,我发现数百垃圾邮件正在通过我们的交换服务器进行中继。 虽然我很难找出原因。
跟踪日志显示接收和发送每个垃圾邮件的SMTP事件源自一个反向查找华盛顿特区的IP。
看起来,他们每两夜凌晨两点到四点就打我们的服务器。 每晚也打不同的领域。
垃圾邮件是从俄罗斯网站拉的图像。 发件人和收件人的地址是相同的,所以用户被欺骗打开它。
我检查了我们的接收连接器和我们的发送连接器configuration,所有的接缝都要正确configuration。 我从MXtools运行一个开放的继电器检查,并通过。 我用一个smtp工具来尝试传递一个消息,我不能,除非我authentication。 作为一个经过validation的用户,我能够将来自外部地址的消息中继到外部地址。
这导致我相信垃圾邮件发送者通过经过validation的用户smtp会话连接。 然而,我完全不知道如何查看Exchange日志来查看他们authentication的用户,甚至是他们如何能够通过Exchange中继邮件。
任何人都可以解释这一点吗?
您应该有2个或3个接收连接器。 一个应该没有validation选项检查和端口25上运行,并绑定到您的外部IP地址接收传入的邮件。 第二个端口应该绑定到端口25和/或587上的内部唯一IP地址,需要进行身份validation,并限制在内部设备和服务(如扫描仪和监控软件)使用的白名单内部IP或IP范围内。 第三个是可选的,在端口587上运行,需要身份validation和TLS,并绑定到外部IP以供外部员工使用。
现在,由于第一个接收连接器只允许匿名连接,它将自动禁止中继。 这将解决您的问题,特别是如果您不启用我提到的第三个连接器。