启用和分析Exchange SMTP身份验证记录

2008-02-23 06:12:34来源：互联网阅读 ()

在Exchange Server的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号和是否被中继，特别是在发生SMTP队列存在大量待发不明邮件时,这种情况需要通过分析是系统中病毒,还是被人中继,而在您确认没有开始Exchange Server的中继,您就需要检查帐号是否被人盗用或是密码泄漏了.把SMTP验证过程记录下来能够帮助您,本文将说明如何启用应用程式日志来记录通过Exchange Server SMTP尝试验证过程（无论成功或是失败）及如何看懂这些日志：

一.开启日志功能

1.开启Exchange System Manager(EMS)
2.选择“Administrative Groups”->“Frist Administrative Group”->“Servers”->“ServerName（Exchange的服务器名称）”，右键择择属性。
3.单击“Diagnostics Logging”(诊断日志)选项卡
4.单击选择左边“Services”栏的“MSExchangeTransport”
5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)
6.在最下面的“Logging Level”(日志级别)中选择“Maximum”（最高级）

中国网管联盟

7.单击“确定”窗口，完成设定。如下图：

(图一 Exchange 2003 Server的设定界面)

(图二 Exchange 2000 Server的设定界面)

二。如何看懂这些日志：
当有用户正在针对连接SMTP发送邮件，前需要进行身份验证，这个记录将在应用程式日志中看到和以下内容类似的事件（您能够通过“管理工具”－>“事件查看器”来查看）：

1.第一种日志情况
Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:13:24 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was company\username.

在这个日志中，假如中继看起来是来自被攻击的帐户密码，请到 Active Directory“用户和电脑”中删除该帐户，或是禁用该帐户或更改该帐户的密码。

2.第二种日志情况：

bitsCN_com

Event Type:Information
Event Source:MSExchangeTransport
Event Category:SMTP Protocol
Event ID: 1708
Date: 10/15/2004
Time:8:27:52 AM
User:N/A
Computer:SERVER
Description:SMTP Authentication was performed successfully with client remote_computername.The authentication method was LOGIN and the username was COMPANY\Guest.

在这个日志中说明，远程用户使用的是来宾帐户。请使用 Active Directory“用户和电脑”来禁用来宾帐户，注意是禁用，不是只更改来宾帐户的密码哦。

因为今天帮一个朋友远程检查一台Exchange Server，需要这方面的操作，所以简单的写了和大分享。请大家指正。。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有