在ORF快速定位被用来中继的用户

钉子

在已安装ORF测试版或是正式版的环境下，如果发现大量发送队列，发件人和收件均不是本域地址时，很有可能是某用户被他人用来中继垃圾邮件。查找方法如下：

1.打开ORF LOG Viewer。
2.载入最近的或是发生大量队列是期的LOG
3.以Message字段排序


4.查找Message为“Authenticated Session”，收件人和发件人都不是本域地址的LOG，双击打开。




5.其中Message下 Authenticated Session （User\xxx）中的XXX为被中继利用的用户，禁用，删除，或是修改些用户的密码为更复杂。





最后。如果有大量队列，建议对邮件队列进行清理。

钉子

不可能是组的。如果可以你把验证的日志给提供一下。

钉子

直接在ADUC中用hrd搜索。即可。

钉子

这样吧。你通过帖子下我的签名，用签名上的联系方式找我，我QQ远程帮你查。

钉子

不是，这应该是Exchange 2007或是2010的环境下的结果，如果是2010或是2007，不用找这个session了，只要看一下发件人是哪一个就OK了，因为默认情况下，2010和2007需要和验证的用户名与发件人地址同时匹配的。