none
exchange 2003 可能被relay 的問題 RRS feed

  • 問題

  • 請問一下我們的exchange 2003 在smtp 有預設為要驗證,但是最近發現有一些垃圾郵件,利用我們的domain name

    發送垃圾信,可是只有 @後面的domain name 是正確的, exhange 內根本沒有這些使用者帳號,這些沒有的帳號為何可以

    發送email 呢?

    我在windows 的應用程式的事件檢視器內  有類別 : NDR 的錯訊息 事件ID : 3020

    掃毒也未發現病毒, 不知這問題如何解決?

    謝謝

    2008年4月18日 上午 07:13

所有回覆

  • Hi,

    首先, 我想你要先確定那些 Email 是不是從你公司的 Mail Server 所發出去的.

    若不是, 那就只是假冒 Email domain name 的垃圾郵件, 這可能就很難防範了

    若是, 請開啟並檢視看看到底那一個 Email account 在大量發送 Email , 在針對該 Account 去做處理
    例如: 改密碼或者檢查使用者電腦是否中毒或中木馬等等.
    2008年4月18日 上午 08:44
  • 可是從exchange 2003的郵件追踪, 寄件者都是我們公司的domain但是公司內並無這些寄件的帳號

    比如說我們公司的domain name 為    @yyy.com.tw

    郵件追踪, 寄件者 為    aa1@yyy.com.tw

                                     aa2@yyy.com.tw

                                     123@yyy.com.tw

                                     rrt@yyy.com.tw

                         

                                     等等......每天不一樣

                所以這些email是否由我的exhange server所寄出我都不確定,可以確定這些e-mail是否由我們的serever 所寄出

     

                

    2008年4月21日 上午 02:34
  • 那些信件都是寄給也是我們同dmain name 的user

    user name 也是亂猜的有猜中的話,就會進入該user的信箱

     

    進來的信件先

    received from 我們的垃圾郵件伺器 domain name 和 ip  和時間

    received from 內部ip 我垃圾伺服器dimain name

    然後 content-type 之後又有一行

    received from 外部真實ip (port number  helo= ip和domain name)  每次 port number 和domain name 都不同

     

    2008年4月21日 上午 08:26
  • 寄件者名稱是可以隨意偽造的

    當初的SMTP Protocol中就沒有特別針對Sender做檢查

    所以這是一種常見的SPAM Attack

    如果你所有的Client都透過Outlook MAPI(ROH/OWA)

    且沒有開放POP3/IMAP4的話

    就可以在Global Setting中的寄件者篩選中將@YourDomain.com.tw的Sender domain濾掉

    如此便可減少此類的問題

     

    2008年4月21日 下午 04:20
  • 我們需要用到pop3

    請問在exchange 2003中是否有辦法辨別寄件者是否為我的exchange server所發送出去的信件

     因為我在郵件追蹤的時侯

    發現多寄件者是我公司的@myDomain.com.tw,但這寄些件者都不是我們公司建立的有效user .

    寄進來的信給我們公司的user,  那如何分辨是真的由我們公司的user 所寄出或是

    寄件者名稱是隨意偽造的?

    2008年4月23日 上午 03:58
  • 您看到的信件應該都是冒名虛構的寄件者郵件

    簡單測試是否可被relay

    telnet YourMailServerMX 25
    helo a.com
    mail from:a.com
    rcpt to:user@b.com
    data

    subject: relay test

    test

    .

     

     

    2008年4月23日 上午 05:10
  • 我打到rcpt to:user@b.com   (我是打一個實際的email位置)

    顯示的是 unable to relay for 我打的實際的email位置

    這樣的話應該是沒被relay 吧

    可是我在exchange 2003 server 的郵件追蹤看到的寄件者也不一定是真的寄件者,有可能是偽造的是嗎?

    那如果寄件者和收件者都是我們公司的有效使用者那怎麼辦?

    我也沒法分別那封是真的由我們公司的寄件者寄的email或是偽造的人寄的email(因為有請一位user 改password

    但是還是會有這位user發信的問題,不知是造假發的或是被猜中密碼)

    請問有什麼方法可以看到真實的寄件者來源嗎?

    如果偽造者用我們的domainname 寄spam mail那我們的domain 到時侯不就會變成黑單了嗎?

     

     

    2008年4月23日 上午 08:47
  • 在 Outlook 中點該郵件 [右鍵] / [選項] 就可以看到這封郵件是從那裡寄來的.

    擔心被當 Relay Server , 我之前的回覆有提供一些文件, 你可以參考一下.

    要確保寄件者是"真的"寄件者 , 可能要啟用 "簽章" 的功能了.



    2008年4月23日 上午 09:37
  • 不好意思,請問一下在 Outlook 中點該郵件 [右鍵] / [選項]  看到好幾個received from

    從上到下

    請問第一個 received from 是我們的垃圾郵件伺服器的ip

             第二個received from 是我們exhange server 的實際ip 有時侯是 exchange server 的內部ip

                         (我看正常郵件不會有這一行,應該是 來源ip才對)

             再有一個received from 外部 ip 在Content-Type: multipart/alternative  之下

             請問是轉寄幾次就會有幾個received from 嗎?

              來源 ip 也可以偽造嗎?

               因為我看它進來的 mail 都不同

            

    2008年4月24日 上午 02:20
  • Hi,

    Email 在 Internet 傳送時 , 經過了那些 Server 的 Relay 都會記錄下來
    以下供你參考, 一般來講最底下最接近 Subject 的那一筆即是最原始的發送 Email 的 Relay server

    Received: from msx-sms3-8.hinet.net (msx-sms3-8.hinet.net [168.95.7.38])
        by ms17.hinet.net (8.8.8/8.8.8) with ESMTP id MAA18959
        for <garrylin@ms17.hinet.net>; Thu, 24 Apr 2008 12:53:26 +0800 (CST)
    Received: from msx-sg2-4.hinet.net (msx-sg2-4.hinet.net [168.95.5.133])
        by msx-sms3-8.hinet.net (8.12.11/8.12.11) with ESMTP id m3O4rP8D008973
        for <garrylin@ms17.hinet.net>; Thu, 24 Apr 2008 12:53:25 +0800 (CST)
    Received: from mail.toneworldxxxx.com (ms.toneworldxxxx.com [211.23.xx.xx])
        by msx-sg2-4.hinet.net (8.8.8/8.8.8) with ESMTP id MAA08978
        for <garrylin@ms17.hinet.net>; Thu, 24 Apr 2008 12:53:25 +0800 (CST)
    Subject: test to Hinet
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
        boundary="----_=_NextPart_001_01C8A5C7.179BC4C1"
    2008年4月24日 上午 04:59