DKN*_*LES 4 brute-force-attacks exchange-2010
今天早上我遇到了一个奇怪的例子,我希望有人能帮我弄清楚发生了什么。
一位用户抱怨今天早上被锁定。重置密码后,我们注意到该帐户几乎立即再次被锁定。我们查看了审计日志,发现请求来自我们的 Exchange 服务器——这是我以前从未真正见过的。
我们查看了 OWA 日志,发现其中没有与该用户名对应的条目。我们禁用了 OWA、ActiveSync、MAPI 等,该帐户继续被锁定。
在查看 Exchange 服务器上的事件查看器日志后,我们发现了这个条目。
入站身份验证失败,错误 LogonDenied for Receive connector Default EMAILSERVER。认证机制是登录。尝试向 Microsoft Exchange 进行身份验证的客户端的源 IP 地址是 [XX.XX.XX.XX]。
我们无处可去,我们黑洞化了来自该 IP 地址的流量,帐户锁定停止了。这是一个公共 IP 地址,它解析到一个我不希望收到太多邮件的国家/地区。
我的问题是:
“接收连接器”是指 SMTP。查看您的传输连接器日志。
除非有充分的理由,否则不应让 Exchange 用户对外部 SMTP 连接器进行身份验证。这将阻止这个问题的发生。
你应该有:
如果您还有其他需要 SMTP 的东西,那么您应该有更多的连接器: