启用和分析Exchange SMTP身份验证记录解决2003中继问题.pdfVIP

启用和分析 Exchange SMTP 身份验证记录 在Exchange Server 的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号和是否 被中继，特别是在发生SMTP 队列存在大量待发不明邮件时,这种情况需要通过分析是系统 中病毒,还是被人中继,而在你确认没有开始Exchange Server 的中继,你就需要检查帐号是 否被人盗用或是密码泄漏了.把SMTP 验证过程记录下来可以帮助你,本文将说明如何启用 应用程序日志来记录通过Exchange Server SMTP 尝试验证过程（无论成功或是失败）及 如何看懂这些日志： 一.开启日志功能 1.开启Exchange System Manager(EMS) 2.选择“Administrative Groups”-“Frist Administrative Group”-“Servers”-“ServerName （Exchange 的服务器名称）”，右键择择属性。 3.单击“Diagnostics Logging”(诊断日志)选项卡 4.单击选择左边“Services”栏的“MSExchangeTransport” 5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议) 6.在最下面的“Logging Level”( 日志级别)中选择“Maximum” （最高级） 7.单击“确定”窗口，完成设定。如下图： (图一 Exchange 2003 Server 的设定界面) (图二 Exchange 2000 Server 的设定界面) 二。如何看懂这些日志： 当有用户正在针对连接SMTP 发送邮件，前需要进行身份验证，这个记录将在应用程序 日志中看到与以下内容类似的事件（你可以通过“管理工具”－“事件查看器”来查看）： 1.第一种日志情况 Event Type:Information Event Source:MSExchangeTransport Event Category:SMTP Protocol Event ID: 1708 Date: 10/15/2004 Time:8:13:24 AM User:N/A Computer:SERVER Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was company\username. 在这个日志中，如果中继看起来是来自被攻击的帐户密码，请到 Active Directory“用户和计 算机”中删除该帐户，或是禁用该帐户或者更改该帐户的密码。 2.第二种日志情况： Event Type:Information Event Source:MSExchangeTransport Event Category:SMTP Protocol Event ID: 1708 Date: 10/15/2004 Time:8:27:52 AM User:N/A Computer:SERVER Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANY\Guest. 在这个日志中说明，远程用户使用的是来宾帐户。请使用 Active Directory“用户和计算机” 来禁用来宾帐户，注意是禁用，不是只更改来宾帐户的密码哦。