Exchange密码暴力破解来源日志查询

全部回复

• 

  

  0

  登录进行投票

  您好，

  请问您的提供的截图是从哪个程序或者软件得到的？
  被破解的账户是同一个账户还是多个账户？
  有没有用户在使用Outlook过程中出现密码弹窗或者连接服务器失败？

  根据我的了解，Exchange 目前还没有相关的日志去记录邮箱密码破解的操作。您可以暂时先让这些用户更改AD账户的密码，缓解目前的问题。

  此致,
  

  敬礼

  Manu Meng

  ---

  如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnsf@microsoft.com.

  

  点击了解更多，或者访问我们的专用论坛，与我们的技术专家一起分享，探索 Microsoft Teams.

  • 已标记为答案 RanRan,Zhao 2018年8月7日 3:09

  2018年7月20日 9:40

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  Hi Manu，

  首先非常感谢你的协助。

  通过防火墙日志并没有发现被破解的用户为公司员工账户，大量的尝试验证的用户名称都是随机的。

  这段时间并没有用户反映Outlokk频繁弹框或者连接服务器失败。

  我们就是想通过Exchange LOG找出问题的源客户端或者IP，我们再对这些问题终端做相应的处理。

  难道就没有其他好的办法查阅频繁尝试在邮件验证的源头？

  期待您的回复。

  2018年7月21日 8:09

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  抱歉回复的有些延迟。

  还是要和您确认您在原帖发的截图是从哪里得来的，我们需要了解具体的信息来帮您排错。

  鉴于您目前的描述，如果您怀疑有人通过破解密码的方式使用组织中Exchange服务器发邮件，我们可以去检查组织中是否有接收连接器开启了匿名中继；另外，我们可以检查message tracking log（邮件跟踪日志）和 protocol log (协议日志)，已确定是否有外部用户提交邮件。但是，需要提示的是，外部用户的IP可能是变化的，即使是明确了IP，我们也可能无法发现问题的源头并将所有的问题账户屏蔽掉。

  此致,
  

  敬礼

  Manu Meng

  ---

  如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnsf@microsoft.com.

  

  点击了解更多，或者访问我们的专用论坛，与我们的技术专家一起分享，探索 Microsoft Teams.

  • 已建议为答案 Manu MengModerator 2018年7月26日 13:21
  • 已编辑 Manu MengModerator 2018年7月30日 17:03
  • 已标记为答案 RanRan,Zhao 2018年8月7日 3:09

  2018年7月25日 8:30

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  Hi Manu，

  很高兴再次收到您的帮助。

  截图来源与软件：Quest Change auditor for ad 和exchange；

  接收连接器关闭匿名的话，对反垃圾网关以及现有系统没有什么影响吧？

  message tracking log无法使用，因为账户都是随机生成的，约20S就尝试登陆破解一次。

  期待您的回复。

  
  

  2018年7月27日 1:44

  回复

  |

  引用
• 

  

  0

  登录进行投票

  Hi Manu，

  很高兴再次收到您的帮助。

  截图来源与软件：Quest Change auditor for ad 和exchange；

  接收连接器关闭匿名的话，对反垃圾网关以及现有系统没有什么影响吧？

  message tracking log无法使用，因为账户都是随机生成的，约20S就尝试登陆破解一次。

  期待您的回复。

  
  

  默认的接受连接器还是建议开启匿名，不然可能会影响接受正常外部用户的邮件。我的意思是指是否有其他的接收连接器进行匿名中继，如果有的话，可以把它关掉试试。另外，建议您在组织中的邮箱服务器上开启防垃圾功能，并注意防止恶意软件侵入，如果可以的话，部署Edge server。

  此致,
  

  敬礼

  Manu Meng

  ---

  如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnsf@microsoft.com.

  

  点击了解更多，或者访问我们的专用论坛，与我们的技术专家一起分享，探索 Microsoft Teams.

  • 已编辑 Manu MengModerator 2018年7月30日 17:17

  2018年7月30日 17:14

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  Hi Manu，

  像这种暴力密码破解的来源信息（IP或者计算机名称等），目前微软难道就没有什么技术手段可以查询到？

  通过“Quest Change auditor for ad 和exchange”工具，现在能收到很多随机账户的密码暴力登录，虽然随机的账户都不是我们的员工账户，但是还是想知道它是从哪里发起的攻击。

  关于如何避免邮箱密码暴力破解，按照您的建议：默认接收连接器开启匿名用户，其他接收连接器关闭匿名，企业购买了思科的反垃圾邮件网关，企业中并未计划部署边缘服务器，目前Exchange架构为3 CASS、4后端服务器，请问还有其他的建议方法？

  期待您的回复。

  对于您的帮助，再次表示感谢。

  
  

  • 已编辑 RanRan,Zhao 2018年7月31日 6:33 补充信息

  2018年7月31日 2:03

  回复

  |

  引用
• 

  

  0

  登录进行投票

  Hi Manu，

  像这种暴力密码破解的来源信息（IP或者计算机名称等），目前微软难道就没有什么技术手段可以查询到？

  通过“Quest Change auditor for ad 和exchange”工具，现在能收到很多随机账户的密码暴力登录，虽然随机的账户都不是我们的员工账户，但是还是想知道它是从哪里发起的攻击。

  关于如何避免邮箱密码暴力破解，按照您的建议：默认接收连接器开启匿名用户，其他接收连接器关闭匿名，企业购买了思科的反垃圾邮件网关，企业中并未计划部署边缘服务器，目前Exchange架构为3 CASS、4后端服务器，请问还有其他的建议方法？

  期待您的回复。

  对于您的帮助，再次表示感谢。

  
  

  您可以去Windows Serer论坛问问是否有办法解决，目前Exchange还没有相关的解决方案。

  服务器平台 Operating Systems  >  Windows Server system

  此致,
  

  敬礼

  Manu Meng

  ---

  如果以上回复对您有所帮助，建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议，可以通过此邮箱联系我们：tnsf@microsoft.com.

  

  点击了解更多，或者访问我们的专用论坛，与我们的技术专家一起分享，探索 Microsoft Teams.

  2018年8月1日 9:04

  回复

  |

  引用

  版主