启用和分析Exchange SMTP身份验证记录
2008-07-09 23:25
302 查看
转自 http://www.5dmail.net/html/2004-12-3/200412382649.htm
在Exchange Server的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号和是否被中继,特别是在发生SMTP队列存在大量待发不明邮件时,这种情况需要通过分析是系统中病毒,还是被人中继,而在你确认没有开始Exchange Server的中继,你就需要检查帐号是否被人盗用或是密码泄漏了.把SMTP验证过程记录下来可以帮助你,本文将说明如何启用应用程序日志来记录通过Exchange Server SMTP尝试验证过程(无论成功或是失败)及如何看懂这些日志:
一.开启日志功能
1.开启Exchange System Manager(EMS)
2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。
3.单击“Diagnostics Logging”(诊断日志)选项卡
4.单击选择左边“Services”栏的“MSExchangeTransport”
5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)
6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级)
7.单击“确定”窗口,完成设定。如下图:
(图一 Exchange 2003 Server的设定界面)
520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src); src="http://www.5dmail.net/pic/2004/12/3/0826001.GIF" onload="javascript:if(this.width>520)this.width=520;" align=absMiddle border=0>
(图二 Exchange 2000 Server的设定界面)
520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src); src="http://www.5dmail.net/pic/2004/12/3/0826002.GIF" width=520 onload="javascript:if(this.width>520)this.width=520;" align=absMiddle border=0>
二。如何看懂这些日志:
当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程序日志中看到与以下内容类似的事件(你可以通过“管理工具”->“事件查看器”来查看):
1.第一种日志情况
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:13:24 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was company\username.
在这个日志中,如果中继看起来是来自被攻击的帐户密码,请到 Active Directory“用户和计算机”中删除该帐户,或是禁用该帐户或者更改该帐户的密码。
2.第二种日志情况:
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:27:52 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANY\Guest.
在这个日志中说明,远程用户使用的是来宾帐户。请使用 Active Directory“用户和计算机”来禁用来宾帐户,注意是禁用,不是只更改来宾帐户的密码哦。
因为今天帮一个朋友远程检查一台Exchange Server,需要这方面的操作,所以简单的写了和大分享。请大家指正。。
在Exchange Server的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号和是否被中继,特别是在发生SMTP队列存在大量待发不明邮件时,这种情况需要通过分析是系统中病毒,还是被人中继,而在你确认没有开始Exchange Server的中继,你就需要检查帐号是否被人盗用或是密码泄漏了.把SMTP验证过程记录下来可以帮助你,本文将说明如何启用应用程序日志来记录通过Exchange Server SMTP尝试验证过程(无论成功或是失败)及如何看懂这些日志:
一.开启日志功能
1.开启Exchange System Manager(EMS)
2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。
3.单击“Diagnostics Logging”(诊断日志)选项卡
4.单击选择左边“Services”栏的“MSExchangeTransport”
5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)
6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级)
7.单击“确定”窗口,完成设定。如下图:
(图一 Exchange 2003 Server的设定界面)
520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src); src="http://www.5dmail.net/pic/2004/12/3/0826001.GIF" onload="javascript:if(this.width>520)this.width=520;" align=absMiddle border=0>
(图二 Exchange 2000 Server的设定界面)
520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src); src="http://www.5dmail.net/pic/2004/12/3/0826002.GIF" width=520 onload="javascript:if(this.width>520)this.width=520;" align=absMiddle border=0>
二。如何看懂这些日志:
当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程序日志中看到与以下内容类似的事件(你可以通过“管理工具”->“事件查看器”来查看):
1.第一种日志情况
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:13:24 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was company\username.
在这个日志中,如果中继看起来是来自被攻击的帐户密码,请到 Active Directory“用户和计算机”中删除该帐户,或是禁用该帐户或者更改该帐户的密码。
2.第二种日志情况:
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:27:52 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANY\Guest.
在这个日志中说明,远程用户使用的是来宾帐户。请使用 Active Directory“用户和计算机”来禁用来宾帐户,注意是禁用,不是只更改来宾帐户的密码哦。
因为今天帮一个朋友远程检查一台Exchange Server,需要这方面的操作,所以简单的写了和大分享。请大家指正。。
相关文章推荐
- 启用和分析Exchange SMTP身份验证记录(收藏)
- 如何对Exchange SMTP身份验证记录进行分析
- SmtpClient 身份验证失败(authentication failed) 的原因分析
- 如何对Exchange SMTP身份验证记录进行分析
- SmtpClient 身份验证失败(authentication failed) 的原因分析
- 启用集成 Windows 身份验证
- SMTP客户端未通过身份验证等多种错误解决方案分享
- shiro学习笔记——从源码角度分析shiro身份验证过程
- 启用和配置Office 365多重身份验证
- 配置SQL Server 2005 Express的身份验证方式,以及如何启用sa登录名
- MongoDB启用身份验证
- [.NET 基于角色安全性验证] 之二:ASP.NET Forms 身份验证流程分析
- 备用NAP服务器RADIUS无线身份验证不通过,无线控制器时常Active / Block切换故障实例分析
- Exchange与ADFS单点登录 PART 7:OWA/ECP使用ADFS身份验证
- postfix client 端强制勾选“SMTP发送服务器需身份验证”
- 加入身份验证信息的SMTP mail发送
- 如何在RIA Service中启用身份验证
- 调试失败,因为没有启用集成 Windows 身份验证
- 关于本地Exchange 2013 和 Exchange Online 组织之间的OAuth 身份验证的问题
- 【转载】配置SQL Server 2005 Express的身份验证方式,以及如何启用sa登录名。