Exchange2003 垃圾邮件攻击常见问题解决两则
1. 中继服务器肉鸡
有的朋友在Exchange2003的邮件队列中常常发现有这样的邮件,发件人和收件人的都不是自己的邮件域,很明显这种情况说明别人用你的邮件服务器做中继服务了。如何防止别人使用自己的中继功能呢:
方法一 关闭中继服务
如果关闭中继服务以后,依然可以看到,其他邮件域的邮件出现在队列里面,说明攻击者已经猜出或获取了某个用户的密码,这个时候只有彻底关闭中继功能,请将上图中的“不管上表如何设置。。。。。。”给勾掉,而且保证“用户”里面没有例外列表即可。
这个方法可以彻底关闭中继服务,对使用 POP3中继的用户会有影响,对使用Outlook 客户端和OWA的用户
没有影响。
2. PostMaster NDR 攻击
什么是NDR攻击呢?
如果Exchange Server接收到了从并不存在的地址(可能是来自字典攻击(dictionary attack)策略的一部分)发送来的电子邮件,那么它就会向目标服务器发送无法发送邮件的报告。(默认情况下)
然而,如果目标服务器并不存在――比如,一个人为的或随机生成的类似于Microsoftttt.com这样的域名――那么NDR将永远不会抵达目标服务器。
然而还存在着更为复杂的问题:假如说,你接收到了上千封来自某个伪造域的垃圾邮件,随后,就会有大量的NDR出现在Exchange Sever的待发队列中,发件人是[email protected],并为每一封邮件都创建一个DNS的查找机制。
由于域名是伪造的,DNS查找最终会超时。这些过多的DNS查找还可能会对你的DNS服务器造成过多的UDP流量,这就会占用其他的DNS操作的资源,并使得这些操作超时,尽管这些操作所涉及的电子邮件和域都是合法的。
有效的解决NDR 攻击的步骤如下:
1. 取消PostMast 用户的 未送达报告,方法如下:
在ESM 的全局设置中-〉邮件格式-〉默认-〉属性-〉高级
将如下两个选项的勾去掉即可
传递状态通知
未送达报告
这样一来,PostMaster就不会疯狂的向外面发送未送达邮件信息了。
2. 如果你的邮件队列中已经有了成千上万封PostMaster的邮件。
请到如下路径删除即可
C: \Program Files\Exchsrvr\Mailroot\vsi1\Queue