Exchange2003 垃圾邮件攻击常见问题解决两则

Exchange2003 垃圾邮件攻击常见问题解决两则  

摘自:http://fogandsun.blog.163.com/blog/static/36658874201171685926220/

 
 

Exchange2003 垃圾邮件攻击常见问题解决两则

 

1. 中继服务器肉鸡

 

有的朋友在Exchange2003的邮件队列中常常发现有这样的邮件,发件人和收件人的都不是自己的邮件域,很明显这种情况说明别人用你的邮件服务器做中继服务了。如何防止别人使用自己的中继功能呢:

 

 

方法一 关闭中继服务

 

 

 

Exchange2003 垃圾邮件攻击常见问题解决两则 - Phoenix - 私奔=Java+.Net的博客

 

如果关闭中继服务以后,依然可以看到,其他邮件域的邮件出现在队列里面,说明攻击者已经猜出或获取了某个用户的密码,这个时候只有彻底关闭中继功能,请将上图中的“不管上表如何设置。。。。。。”给勾掉,而且保证“用户”里面没有例外列表即可。

 

这个方法可以彻底关闭中继服务,对使用 POP3中继的用户会有影响,对使用Outlook 客户端和OWA的用户

没有影响。

 

 

 

 

 

 

2. PostMaster NDR 攻击

 

 

什么是NDR攻击呢?

如果Exchange Server接收到了从并不存在的地址(可能是来自字典攻击(dictionary attack)策略的一部分)发送来的电子邮件,那么它就会向目标服务器发送无法发送邮件的报告。(默认情况下)

  然而,如果目标服务器并不存在——比如,一个人为的或随机生成的类似于Microsoftttt.com这样的域名——那么NDR将永远不会抵达目标服务器。

  然而还存在着更为复杂的问题:假如说,你接收到了上千封来自某个伪造域的垃圾邮件,随后,就会有大量的NDR出现在Exchange Sever的待发队列中,发件人是[email protected],并为每一封邮件都创建一个DNS的查找机制。

由于域名是伪造的,DNS查找最终会超时。这些过多的DNS查找还可能会对你的DNS服务器造成过多的UDP流量,这就会占用其他的DNS操作的资源,并使得这些操作超时,尽管这些操作所涉及的电子邮件和域都是合法的。

 

 

有效的解决NDR 攻击的步骤如下:

 

 

1. 取消PostMast 用户的 未送达报告,方法如下:

 

 

ESM 的全局设置中-〉邮件格式-〉默认-〉属性-〉高级

将如下两个选项的勾去掉即可

 

传递状态通知

 

未送达报告

 

这样一来,PostMaster就不会疯狂的向外面发送未送达邮件信息了。

 

 

2. 如果你的邮件队列中已经有了成千上万封PostMaster的邮件。

请到如下路径删除即可

C: \Program Files\Exchsrvr\Mailroot\vsi1\Queue

 

你可能感兴趣的:(职场,Exchange,休闲,垃圾邮件攻击)