none
Exchange密码暴力破解来源日志查询 RRS feed

  • 问题

  • 大家好,

    请教大家一个问题,最近发现大量的交易密码暴力破解的日志,约20S一次,但是我在邮件前端查找日志,并未找到暴力登录前端来源日志,我们如何通过交流日志找到密码暴力破解的来源呢?

    对于大家的帮助,深表感谢!

    期待大家的回复。

    2018年7月20日 2:27

答案

  • 您好,

    请问您的提供的截图是从哪个程序或者软件得到的?
    被破解的账户是同一个账户还是多个账户?
    有没有用户在使用Outlook过程中出现密码弹窗或者连接服务器失败?

    根据我的了解,Exchange 目前还没有相关的日志去记录邮箱密码破解的操作。您可以暂时先让这些用户更改AD账户的密码,缓解目前的问题。

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年7月20日 9:40
    版主
  • 您好,

    抱歉回复的有些延迟。

    还是要和您确认您在原帖发的截图是从哪里得来的,我们需要了解具体的信息来帮您排错。

    鉴于您目前的描述,如果您怀疑有人通过破解密码的方式使用组织中Exchange服务器发邮件,我们可以去检查组织中是否有接收连接器开启了匿名中继;另外,我们可以检查message tracking log(邮件跟踪日志)和 protocol log (协议日志),已确定是否有外部用户提交邮件。但是,需要提示的是,外部用户的IP可能是变化的,即使是明确了IP,我们也可能无法发现问题的源头并将所有的问题账户屏蔽掉。

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年7月25日 8:30
    版主

全部回复

  • 您好,

    请问您的提供的截图是从哪个程序或者软件得到的?
    被破解的账户是同一个账户还是多个账户?
    有没有用户在使用Outlook过程中出现密码弹窗或者连接服务器失败?

    根据我的了解,Exchange 目前还没有相关的日志去记录邮箱密码破解的操作。您可以暂时先让这些用户更改AD账户的密码,缓解目前的问题。

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年7月20日 9:40
    版主
  • Hi Manu,

    首先非常感谢你的协助。

    通过防火墙日志并没有发现被破解的用户为公司员工账户,大量的尝试验证的用户名称都是随机的。

    这段时间并没有用户反映Outlokk频繁弹框或者连接服务器失败。

    我们就是想通过Exchange LOG找出问题的源客户端或者IP,我们再对这些问题终端做相应的处理。

    难道就没有其他好的办法查阅频繁尝试在邮件验证的源头?

    期待您的回复。

    2018年7月21日 8:09
  • 您好,

    抱歉回复的有些延迟。

    还是要和您确认您在原帖发的截图是从哪里得来的,我们需要了解具体的信息来帮您排错。

    鉴于您目前的描述,如果您怀疑有人通过破解密码的方式使用组织中Exchange服务器发邮件,我们可以去检查组织中是否有接收连接器开启了匿名中继;另外,我们可以检查message tracking log(邮件跟踪日志)和 protocol log (协议日志),已确定是否有外部用户提交邮件。但是,需要提示的是,外部用户的IP可能是变化的,即使是明确了IP,我们也可能无法发现问题的源头并将所有的问题账户屏蔽掉。

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年7月25日 8:30
    版主
  • Hi Manu

    很高兴再次收到您的帮助。

    截图来源与软件:Quest Change auditor for ad 和exchange;

    接收连接器关闭匿名的话,对反垃圾网关以及现有系统没有什么影响吧?

    message tracking log无法使用,因为账户都是随机生成的,约20S就尝试登陆破解一次。

    期待您的回复。


    2018年7月27日 1:44
  • Hi Manu

    很高兴再次收到您的帮助。

    截图来源与软件:Quest Change auditor for ad 和exchange;

    接收连接器关闭匿名的话,对反垃圾网关以及现有系统没有什么影响吧?

    message tracking log无法使用,因为账户都是随机生成的,约20S就尝试登陆破解一次。

    期待您的回复。


    默认的接受连接器还是建议开启匿名,不然可能会影响接受正常外部用户的邮件。我的意思是指是否有其他的接收连接器进行匿名中继,如果有的话,可以把它关掉试试。另外,建议您在组织中的邮箱服务器上开启防垃圾功能,并注意防止恶意软件侵入,如果可以的话,部署Edge server。

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年7月30日 17:14
    版主
  • Hi Manu,

    像这种暴力密码破解的来源信息(IP或者计算机名称等),目前微软难道就没有什么技术手段可以查询到?

    通过“Quest Change auditor for ad 和exchange”工具,现在能收到很多随机账户的密码暴力登录,虽然随机的账户都不是我们的员工账户,但是还是想知道它是从哪里发起的攻击。

    关于如何避免邮箱密码暴力破解,按照您的建议:默认接收连接器开启匿名用户,其他接收连接器关闭匿名,企业购买了思科的反垃圾邮件网关,企业中并未计划部署边缘服务器,目前Exchange架构为3 CASS、4后端服务器,请问还有其他的建议方法?

    期待您的回复。

    对于您的帮助,再次表示感谢。


    • 已编辑 RanRan,Zhao 2018年7月31日 6:33 补充信息
    2018年7月31日 2:03
  • Hi Manu,

    像这种暴力密码破解的来源信息(IP或者计算机名称等),目前微软难道就没有什么技术手段可以查询到?

    通过“Quest Change auditor for ad 和exchange”工具,现在能收到很多随机账户的密码暴力登录,虽然随机的账户都不是我们的员工账户,但是还是想知道它是从哪里发起的攻击。

    关于如何避免邮箱密码暴力破解,按照您的建议:默认接收连接器开启匿名用户,其他接收连接器关闭匿名,企业购买了思科的反垃圾邮件网关,企业中并未计划部署边缘服务器,目前Exchange架构为3 CASS、4后端服务器,请问还有其他的建议方法?

    期待您的回复。

    对于您的帮助,再次表示感谢。


    您可以去Windows Serer论坛问问是否有办法解决,目前Exchange还没有相关的解决方案。

    服务器平台 Operating Systems  >  Windows Server system

    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年8月1日 9:04
    版主