当cc遭遇邮件服务器被垃圾邮件中继

话说今日一早我例行查看下防火墙的流量,意外的看见我的mailservr打开了几百个yahoo的连接,遂觉得奇怪,于是打开exchange服务器的邮件队列,发现大量寄往yahoo台湾yahoo美国等域名的垃圾邮件,发件人为ecwos.com之类的,
再来说说我的中继设置,因为某经理需要在外部使用adsl连接公司的exchange使用pop,模式收取信件,所以没有做针对IP的禁止,
于是我立刻做了禁止,但是邮件没有减少
最后我想了想从日志来分析,于是马上设置mail的日志
在mail上右键-属性-诊断日志记录

 
然后到系统的事件日志查看器上去查看日志看到了如下的一个身份验证日志

看出什么了么,那么被遮挡着的是我的域名就不给大家看了,它使用我域中的一个test账户来进行验证然后发送了垃圾邮件,因为我的域根本就不是第一段话中的那个gl什么的域.所以立刻删除test账户后垃圾邮件果然减少了,删除队列中的垃圾邮件后,系统恢复正常,然后询问同事后,得知test是他建立的,密码为test,所以该漏洞被人利用.汗```````,然后从诊断日志中恢复原状-在第一图那里改回无的设置.
至此垃圾邮件中继问题解决,后续同学们有类似问题可以如此解决.
另外cc在解决中也用到科来,分析到了是一韩国IP为124.198.54.204发出的邮件发送请求,哪位兄弟无聊帮我探探这都是一个干啥的地址.

本文出自 “ccfxny的博客” 博客，请务必保留此出处http://ccfxny.blog.51cto.com/350339/171909