exchange2007被攻擊

ctipde 2011-08-05 09:39:31 ‧ 4293 瀏覽

分享至

OS:Win2003R2 SP2/64 Exchang2007(版本08.01.0240.006)從8/1開始就有其他mail Server試圖登入到Exchang上只是認證不過被阻止，每天都有不同IP試圖登入到Exchange而當天那個IP會持續試到AM12:00隔天11:00又換另一個IP繼續試圖登入有試者從防火牆去設定阻檔可是每天IP都不一樣那這樣每次都要設定很麻煩請問有一勞永逸的辦法嗎?

看更多先前的討論...收起先前的討論...

CalvinKuo iT邦大師 7 級 ‧ 2011-08-05 13:50:35 檢舉

有查過不是因為其他問題造成認證有問題嗎?
http://support.microsoft.com/kb/979174/zh-tw

CalvinKuo iT邦大師 7 級 ‧ 2011-08-05 13:51:45 檢舉

因為192.168.38.112應該是你區域網路的IP....

ctipde iT邦高手 1 級 ‧ 2011-08-05 15:57:31 檢舉

有確認過我公司的IP設定非此網段，另外IP是196.192.38.112

CalvinKuo iT邦大師 7 級 ‧ 2011-08-08 10:31:22 檢舉

不好意思，我眼殘...
若確定是外部攻擊，看看能不能把公司英文帳號的菜市場名改為 "菜市場名"-"姓"...
把沒有必要使用Webmail & POP3的帳號停用相關服務，有必要用的帳號的密碼強度加強。
另外，有使用者帳號因此被鎖定嗎?
像安全性Log ID 539
http://ithelp.ithome.com.tw/question/10062223

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

ak4780158

iT邦研究生 5 級 ‧ 2011-08-05 17:56:35

最佳解答

要不要試著把MSExchangeTransport服務重新啟動試試看？

回應 2
分享
檢舉

ctipde iT邦高手 1 級 ‧ 2011-08-05 18:05:09 檢舉

??為何要重新啟動?Transport沒有問題

ak4780158 iT邦研究生 5 級 ‧ 2011-08-08 12:06:32 檢舉

因為之前也有幫客戶處理過Exchang2007的認證問題，或許這個方法只針對這個個案有效，提供給您參考。

當時的案例是出現MSExchangeTransport的事件ID:1018，查過相關訊息後將MSExchangeTransport服務重新啟動，再將Exchange 2007 上的檔案層級防毒掃描功能先關閉一天，之後就沒出現錯誤訊息了

之後再將防毒軟體的隔離區清除並做系統掃毒，再重新開啟檔案層級防毒掃描才OK。

登入發表回應

Ray

iT邦大神 1 級 ‧ 2011-08-05 23:00:19

請外網使用者全部改用 Outlook 2007 以上版本, 啟動 Outlook Anywhere 回來收發信(防火牆只開 TCP 443, 不要再走 TCP 25), Exchange 這邊則關掉《接收連接器》Default in-bound 的所有權限群組, 只留下《匿名》方式.

這樣就可以防堵人家用 bruce force 的方式來猜密碼....

這個是 Exchange 很大的優勢, 因為 Linux Based 的 Mail Server 完全沒有這樣的機制可以利用, 只能勇敢的站在前面挨打, 既然公司用了 Exchange, 應該要完善的發揮這些安全機制(所有外網用戶收送信都走 TCP 443, 把 TCP 25 只留給 MTA-to-MTA 的收送信, 躲開針對 Port 25 的猜密碼攻擊), 不要再用傳統 Linux Mail 的觀念來操作.