今天早上我有一个奇怪的例子,我希望有人能帮助我了解发生了什么。
一位用户抱怨今天早上被关了。 重置密码后,我们注意到帐户几乎被瞬间locking了。 我们查看了审计日志,发现这些请求来自我们的Exchange服务器 – 这是我以前从未见过的。
我们查看了OWA日志,发现那里没有与该用户名相对应的条目。 我们禁用了OWA,ActiveSync,MAPI等,帐户继续被locking。
在查看Exchange服务器上的事件查看器日志之后,我们看到了这个条目。
入站身份validation失败,错误LogonDenied用于接收连接器默认EMAILSERVER。 身份validation机制是login。 尝试向Microsoft Exchange进行身份validation的客户端的源IP地址是[XX.XX.XX.XX]。
随处可见,我们对来自该IP地址的stream量进行了黑洞,并停止了帐户locking。 这是一个公共的IP地址,解决了一个国家,我不希望收到太多的邮件。
我的问题是:
“接收连接器”是指SMTP。 看看你的传输连接器日志。
除非您有充分的理由,否则不应让Exchange用户对外部SMTP连接器进行身份validation。 这将阻止这个问题的发生。
你应该有:
如果您还有其他需要SMTP的地方,那么您应该有更多的连接器: