近来不止一次的看到和在MSN上接到关于EXCHANGE外发队列出现较多广告邮件的求助。我经过仔细分析。发现这些情况和以前看到的不太一样,这些服务器都没有开放中继。各种设置都正常,但仍在队列中发现大量的不明邮件。经过仔细分析,认为是由于帐号密码泄露或被盗用产生的。为了找到这些被盗用的帐号。我采取了以下措施:
1、先清除掉所有的外发邮件队类,方法是建立一个新的连接器,指向一个不存在的IP地址,这可以使分散的队列变成一行,接下来用删除命令删除队列里的邮件。
2、删除刚才建立的连接器。
3、在ESM的服务器属性里的诊断日志中开启MS EXCHANGE TRANSPORT里的SMTP PROTOCOL一项到MAX(最右边),重新启动SMTP服务器。
4、经过一段时间的运行,又在队列中发现了大量的外发邮件
5、从事件查看器里的查看事件来源为“SMTP PROTOCOL”,ID为1706和1708的事件日志
6、从以上事件中找到被盗用的邮件帐号。, ,