Exchange2003 垃圾邮件攻击常见问题解决两则

1． 中继服务器肉鸡

有的朋友在Exchange2003的邮件队列中常常发现有这样的邮件，发件人和收件人的都不是自己的邮件域，很明显这种情况说明别人用你的邮件服务器做中继服务了。如何防止别人使用自己的中继功能呢：

方法一 关闭中继服务

如果关闭中继服务以后，依然可以看到，其他邮件域的邮件出现在队列里面，说明攻击者已经猜出或获取了某个用户的密码，这个时候只有彻底关闭中继功能，请将上图中的“不管上表如何设置。。。。。。”给勾掉，而且保证“用户”里面没有例外列表即可。

这个方法可以彻底关闭中继服务，对使用 POP3中继的用户会有影响，对使用Outlook 客户端和OWA的用户

没有影响。

2． PostMaster NDR 攻击

什么是NDR攻击呢？

如果Exchange Server接收到了从并不存在的地址(可能是来自字典攻击(dictionary attack)策略的一部分)发送来的电子邮件，那么它就会向目标服务器发送无法发送邮件的报告。（默认情况下）

　　然而，如果目标服务器并不存在——比如，一个人为的或随机生成的类似于Microsoftttt.com这样的域名——那么NDR将永远不会抵达目标服务器。

　　然而还存在着更为复杂的问题:假如说，你接收到了上千封来自某个伪造域的垃圾邮件，随后，就会有大量的NDR出现在Exchange Sever的待发队列中，发件人是PostMaster@domanname.com,并为每一封邮件都创建一个DNS的查找机制。

由于域名是伪造的，DNS查找最终会超时。这些过多的DNS查找还可能会对你的DNS服务器造成过多的UDP流量，这就会占用其他的DNS操作的资源，并使得这些操作超时，尽管这些操作所涉及的电子邮件和域都是合法的。

有效的解决NDR 攻击的步骤如下：

1． 取消PostMast 用户的 未送达报告，方法如下：

在ESM 的全局设置中-〉邮件格式-〉默认-〉属性-〉高级

将如下两个选项的勾去掉即可

传递状态通知

未送达报告

这样一来，PostMaster就不会疯狂的向外面发送未送达邮件信息了。

2． 如果你的邮件队列中已经有了成千上万封PostMaster的邮件。

请到如下路径删除即可

C: \Program Files\Exchsrvr\Mailroot\vsi1\Queue