exchange2003 盗用的邮件帐号

dcsonofgun

现在队列里每天都有很多乱七八糟的外域名字而且还有很多portmater的退信,Exchange2003的中继我设置了.但还是不行,而且查看日志里有很多1706,1708的事件日志,我想可能是账号被盗了.但不知道如何找到这些被盗的账号,听说好像ORF试用版可以查出被盗的账号.但小弟不知道如何设置?

钉子

在ORF中只要Server bindings打上inbound和outbound的勾,然后配置DNS,保存配置,启用ORF Service,跑一段时间后,然后打开ORF LOG Viewer即可以查看到进出的邮件记录,如要现在正有使用本地用户验证然后中继邮件的情况,你可以双击打开每一条的LOG,你可以看到有一些LOG的发件人和收件人地址都不是本地的,而且收件人数据大量,LOG后部会有使用本地用户的验证线程记录,类似下面的:

Message:
Authenticated session (user: XXX\hutao).

如果找到类似的LOG,则hutao这个用户被用来中继了,接下来的工作就是禁用这个用户或是将这个用户的密码修改复杂一些.

dcsonofgun

我现在安装ORF不会对现有的邮件服务器造成什么应响吧？只要Server bindings打上inbound和outbound的勾,然后配置DNS这些都是在ORF上做设置吧？还有我的邮件服务器上装有360和Symantec AntiVirus 9.0不会造成什么应响吧？

dcsonofgun

我现在安装ORF不会对现有的邮件服务器造成什么应响吧？只要Server bindings打上inbound和outbound的勾,然后配置DNS这些都是在ORF上做设置吧？还有我的邮件服务器上装有360和Symantec AntiVirus 9.0不会造成什么应响吧？

钉子

我现在安装ORF不会对现有的邮件服务器造成什么应响吧？
--不会,即使你只是为了找到这个用户,找到了后就删除也没影响.

只要Server bindings打上inbound和outbound的勾,然后配置DNS这些都是在ORF上做设置吧？
--是的.

还有我的邮件服务器上装有360和Symantec AntiVirus 9.0不会造成什么应响吧？
--不会.

dcsonofgun

谢谢钉子帮助，

dcsonofgun

我按照您的方法去试了，但目前未发现被盗号现像。可每天队列还是有很多乱七八糟的外域名子，事件日志里全是4007,7004,7002,4006的报错。我用Symantec AntiVirus 9.0全盘扫描，在BADMAIL里有很多病毒，隔离删除后还是不行。

abdxj

你应该吧日志贴出来，吧队列的具体信息贴出来

dcsonofgun

事件 4006    类别 连接管理器
向远程域“bzq-84-108-36-30.cablep.bezeqint.net”传递邮件时，无法传递到主机“84.108.36.30”， 原因如下: 远程服务器未响应连接尝试。


事件 4007     类别 连接管理器
向远程域“quiet-waters.net”传递邮件时，无法传递到主机“72.167.218.85”， 原因如下: 出现 SMTP 协议错误。
导致错误的 SMTP 动作为“RCPT”。远程服务器 的响应为“553 Dynamic pool 218.241.65.202. <http://unblock.secureserver.net/?ip=218.241.65.*>
”。


事件 7004    类别 SMTP
这是关于虚拟服务器 ID 1、连接 #2333 的 SMTP 协议错误日志。 远程主机“60.10.6.77”对 SMTP 命令“rcpt”的响应是“550 Local user only or Authentication mechanism  ”。 发送的完整命令为“RCPT TO:<dfsgffdgfd@21.com.cn>  ”。这可能会导致连接失败。

钉子

你查看ORF 的LOG能找到都是哪一些邮件进来?
如果不行,请加我QQ:36335336,我远程帮你看.