对列中出现大量匿名的邮件

goldenzhang

从昨天开始用户反映收到一些只有发件人，没有收件人，主题和正文的邮件；而且发件人全部是公司邮件的地址，每次都不同。
暂时将这些邮件通过Mail security来删掉。

服务器没有开中继，我怀疑是哪个用户的密码太简单，导致；开启日志，查找 event id:1708来找这个用户。
但是在事件日志中只看到event id：1706
EXPS 暂时无法用“<主机名>”提供协议安全。“<函数名>”调用“<函数名>”失败，错误代码 <错误代码> ( <文件名>@<行号> )。

客户端我已经禁用了所有的SMTP连接，难到通过MAPI也可以发送这样的匿名邮件？还是只有通过SMTP才能发送这样的匿名邮件？
通常遇见这样的问题，查找起来很困难，大家有没有好的办法？

多谢！

swim

你的怀疑是正确的，最好的办法就是采用以下步骤，但是稍微有点复杂

1. 问题发生的时候抓取网络包
2. 在网络包里找到发送匿名垃圾邮件的SMTP会话
3. 看AUTH LOGIN用来验证的用户名（这个会是BASE64编码的，需要解码）就可以定位哪个用户的密码被盗

glodenchang

谢谢您的回答！
今天还有这样的邮件发送，但是在事件日志中只有event id:1706,没有1708。真是郁闷！

swim

原帖由 glodenchang 于 2010-6-5 17:25 发表
谢谢您的回答！
今天还有这样的邮件发送，但是在事件日志中只有event id:1706,没有1708。真是郁闷！

看日志没法看的，只有抓网络包，但是这个是基与在对SMTP协议了解的基础上的