Chinaunix首页 | 论坛 | 博客
  • 博客访问: 263655
  • 博文数量: 54
  • 博客积分: 992
  • 博客等级: 大尉
  • 技术积分: 609
  • 用 户 组: 普通用户
  • 注册时间: 2011-04-12 20:40
文章分类

全部博文(54)

文章存档

2013年(1)

2012年(16)

2011年(37)

分类: WINDOWS

2011-07-13 17:23:07

Exchange2003 垃圾邮件攻击常见问题解决两则

1. 中继服务器肉鸡

有的朋友在Exchange2003的邮件队列中常常发现有这样的邮件,发件人和收件人的都不是自己的邮件域,很明显这种情况说明别人用你的邮件服务器做中继服务了。如何防止别人使用自己的中继功能呢:

方法一 关闭中继服务

如果关闭中继服务以后,依然可以看到,其他邮件域的邮件出现在队列里面,说明攻击者已经猜出或获取了某个用户的密码,这个时候只有彻底关闭中继功能,请将上图中的“不管上表如何设置。。。。。。”给勾掉,而且保证“用户”里面没有例外列表即可。

这个方法可以彻底关闭中继服务,对使用 POP3中继的用户会有影响,对使用Outlook 客户端和OWA的用户

没有影响。

2. PostMaster NDR 攻击

什么是NDR攻击呢?

如果Exchange Server接收到了从并不存在的地址(可能是来自字典攻击(dictionary attack)策略的一部分)发送来的电子邮件,那么它就会向目标服务器发送无法发送邮件的报告。(默认情况下)

  然而,如果目标服务器并不存在——比如,一个人为的或随机生成的类似于Microsoftttt.com这样的域名——那么NDR将永远不会抵达目标服务器。

  然而还存在着更为复杂的问题:假如说,你接收到了上千封来自某个伪造域的垃圾邮件,随后,就会有大量的NDR出现在Exchange Sever的待发队列中,发件人是PostMaster@domanname.com,并为每一封邮件都创建一个DNS的查找机制。

由于域名是伪造的,DNS查找最终会超时。这些过多的DNS查找还可能会对你的DNS服务器造成过多的UDP流量,这就会占用其他的DNS操作的资源,并使得这些操作超时,尽管这些操作所涉及的电子邮件和域都是合法的。

有效的解决NDR 攻击的步骤如下:

1. 取消PostMast 用户的 未送达报告,方法如下:

ESM 的全局设置中-〉邮件格式-〉默认-〉属性-〉高级

将如下两个选项的勾去掉即可

传递状态通知

未送达报告

这样一来,PostMaster就不会疯狂的向外面发送未送达邮件信息了。

2. 如果你的邮件队列中已经有了成千上万封PostMaster的邮件。

请到如下路径删除即可

C: \Program Files\Exchsrvr\Mailroot\vsi1\Queue

阅读(3902) | 评论(2) | 转发(1) |
给主人留下些什么吧!~~