启用和分析Exchange SMTP身份验证记录
来源:互联网
作者:west263.com
时间:2008-02-23
西部数码-全国虚拟主机10强!40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!
| 在Exchange Server的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号和是否被中继,特别是在发生SMTP队列存在大量待发不明邮件时,这种情况需要通过分析是系统中病毒,还是被人中继,而在您确认没有开始Exchange Server的中继,您就需要检查帐号是否被人盗用或是密码泄漏了.把SMTP验证过程记录下来能够帮助您,本文将说明如何启用应用程式日志来记录通过Exchange Server SMTP尝试验证过程(无论成功或是失败)及如何看懂这些日志: 一.开启日志功能 1.开启Exchange System Manager(EMS) 2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。 3.单击“Diagnostics Logging”(诊断日志)选项卡 4.单击选择左边“Services”栏的“MSExchangeTransport” 5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议) 6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级) 中国网管联盟 7.单击“确定”窗口,完成设定。如下图: (图一 Exchange 2003 Server的设定界面) (图二 Exchange 2000 Server的设定界面) 二。如何看懂这些日志: 当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程式日志中看到和以下内容类似的事件(您能够通过“管理工具”->“事件查看器”来查看): 1.第一种日志情况 Event Type:Information Event Source:MSExchangeTransport Event Category:SMTP Protocol Event ID: 1708 Date: 10/15/2004 Time:8:13:24 AM User:N/A Computer:SERVER Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was company\username. 在这个日志中,假如中继看起来是来自被攻击的帐户密码,请到 Active Directory“用户和电脑”中删除该帐户,或是禁用该帐户或更改该帐户的密码。 2.第二种日志情况: bitsCN_com Event Type:Information Event Source:MSExchangeTransport Event Category:SMTP Protocol Event ID: 1708 Date: 10/15/2004 Time:8:27:52 AM User:N/A Computer:SERVER Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANY\Guest. 在这个日志中说明,远程用户使用的是来宾帐户。请使用 Active Directory“用户和电脑”来禁用来宾帐户,注意是禁用,不是只更改来宾帐户的密码哦。 因为今天帮一个朋友远程检查一台Exchange Server,需要这方面的操作,所以简单的写了和大分享。请大家指正。。 |
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
