邮件服务器可能被中继(急）

jackal4368

Exchange 2003 服务器被中继公司邮件服务器，总是收到许多由本公司邮箱地址（包含许多已经删除了的邮箱地址及工作组的邮箱地址）发送过来的垃圾邮件，可以确定的是这些邮件肯定不是我公司同事所发，而且服务器最近队列中总是有非本域发出的邮件（队列总是有十来个），这些邮件都是不请自到的商业邮件，起初我以为是中继不小心打开了，检查后发现中继是关闭的，但队列中还是有很多垃圾邮件，有时也会出现全由Postmaster发送的退信，这些退信也都是垃圾邮件，相关设置如下，请指教一下，为什么关闭中继后服务器还会被中继，这种情况是否可以肯定是服务器被中继了，另外如何防止或避免。

钉子

你这种情况很大的可能是某一个用户密码被猜 出来了。即然你已启了“身份验证”的最高诊断级别，查找事件日志中Event ID: 1708 的日志，看一下队列中的邮件提交的时间与这个日志相同或是相近的来确定是哪一个用户，然后禁用或是修改密码。

jackal4368

你好，之前按论坛上的方法检查过了，已经将所有的邮箱密均改过一遍了，而且有日志中没有发现ID1708的记录。后来用网络监控软件，发现在某些客户端的电脑，同一个IP地址会用不同的邮件地址发送不同垃圾邮件给网内不同的用户，去到客户端检查，在发件箱内又看不到任何邮件，是不是客户端中病毒了，这种病毒是什么病素。详细见附件，因为网络监控软件是测试版本，只能监控部分电脑，有没什么方法能快速检查到。

钉子

如果是这样的话，很有可能是这些电脑中了类似病毒，成了僵尸机器。

jackal4368

我想应该是中病毒了,局域网内很多台电脑都是这样,请问知不知道这种病毒是什么病毒?有没快速清除的办法?

钉子

具体是什么病毒，我猜不出来。但如果你确定是病毒造成的，根本的解决办法是杀毒，或是找出其它被中继的原因。

钉子

1.将SMTP停掉,
2.找到Exchange安装目录队列所以文件夹比如C:\Program Files\Exchsrvr\Mailroot\vsi 1，
3.将Queue文件夹改名，比如Queue-old,
4.再新建个Queue的文件夹，
5.重启SMTP

jackal4368

已经查明，是客户端的电脑中病毒，客户端使用OUTLOOK EXPRESS收发邮件，病毒利用OUTLOOK EXPRESS内的地址薄，伪造发件人并向地址薄内人员发送邮件地址，将所有的客户端更改为MS OUTLOOK后，由公司内部监控到的客户端发送大量垃圾邮件的问题已解决。但仍有些小部分由外部发送垃圾邮件，每天都有几个，有些发件人的邮箱地址的域名为我公司的域名，有些为其他。确认中继已经关闭，要日志中也没1708的记录，说明没有人员密码已被泄漏，另外所有人员的邮箱密码已全部刚刚重新更改过。有没什么好的办法可以防止这些垃圾邮件？邮箱服务器端已安装好InterScan Messaging Security Suite  及scanmail for exchange 软件。

jackal4368

已经查明，由于客户端电脑中病毒，客户端使用OUTLOOK EXPRESS收发邮件，病毒利用OUTLOOK EXPRESS的地址薄，伪造发件人并往地址薄内人员发送垃圾邮件,将OUTLOOK EXPRESS的账号有地址薄删除,并改由MICROSOFT OUTLOOK收发邮件,监控到的由公司内部发送的垃圾邮件的问题已基本解决.但仍有一些由外部发送的垃圾邮件,有些发件人为伪造我公司域名,有些为其他域名的邮箱地址,每天都有几封至十几封这种垃圾邮件,这种问题长期以来一直存在.可以确认中继已经关闭,日志中的没有ID为1708的记录,另外所有邮箱的密码在前两天全部更改赤,说明不存在密码泄漏的情况。有没什么好的方法可以防止这种垃圾邮件？邮件服务器上已安装scanmail for exchange 及interscan messaging Security suite软件。

zgshqp

很实用的帖子,等着看解决方法.