chun

http://alanhsu320.spaces.live.com/blog/cns!57586786E7D0051E!4549.entry

2008/9/25

解決Exchange 郵件伺服器佇列 (NDR) 攻擊

Exchange 佇列填滿與許多非傳遞報表從在 Small Business Server 2003 中 「 郵件管理員帳戶

檢視此文章適用的產品。

檢視機器翻譯免責聲明

文章編號	:	886208
上次校閱	:	2007年12月3日
版次	:	3.2

在此頁中

徵狀

發生的原因

解決方案

步驟 1： 判斷 NDR 郵件是否佇列中的訊息

步驟 2： 設定收件者篩選在 Exchange Server 2003

步驟 3： 清除 Exchange 佇列

其他相關資訊

徵狀

Microsoft Windows Small Business Server (SBS) 2003 - 架構電腦上會遭遇下列一或更多的下列徵狀：

•	Microsoft Exchange Server 2003 伺服器佇列包含許多外寄郵件正在等候要傳送到外部位址。 每一個的這些電子郵件訊息都在這種情況下， 在寄件者 ] 欄位有 name@name domain . com 您的電子郵件的郵件管理員。
•	來路不明的商業電子郵件 (UCE)， 您的 Exchange 伺服器會將您的網際網路服務提供者 (ISP) 通知您。 UCE 也稱為垃圾郵件。.
•	當您從 Windows SBS 2003 電腦上或從一台電腦位於區域網路 (LAN)， 造訪網際網路網際網路存取速度非常慢。
•	Store . exe 處理程序和 Inetinfo . exe 處理序使用大量的 CPU 時間和大量的可用的記憶體。
•	如果您停止 [ Simple Mail Transfer Protocol (SMTP) 服務， 網際網路存取時間會更快， 並 Store . exe 處理程序及 Inetinfo . exe 處理程序傳回給一般層級的 CPU 及記憶體使用量。
•	執行 BadMail ] 資料夾所在磁碟的空間不足。 根據預設值， BadMail ] 資料夾是位於 " C: \Program Files\Exchsrvr\Mailroot\vsi 1 " 資料夾中。

回此頁最上方

發生的原因

如果您的電腦是反向 - 未傳遞報告 (NDR) 攻擊的目標， 就會發生這個問題。

回此頁最上方

解決方案

如果要解決這個問題， 建立收件者篩選， 以防止接受傳送給收件者的人都不存在的訊息， Exchange Server 2003。 如果要執行這項操作，請依照下列步驟執行。:

回此頁最上方

步驟 1： 判斷 NDR 郵件是否佇列中的訊息

1.	啟動 Exchange 系統管理員 」 程式。
2.	展開 [ 伺服器 、 展開您的 Exchange 伺服器， 然後再按一下 [ 佇列 ] 。
3.	再在右窗格， 按一下包含許多訊息佇列， 請按一下 [ 尋找郵件 ， 及 [ 立即尋找 ] 。
4.	檢視在傳回項目的 [ 寄件者 ] 欄位中。 若郵件管理員 name@name domain . com， 您的電子郵件的寄件者的訊息是訊息即為一個 NDR 訊息。 按兩下訊息， 以檢視此郵件的外部收件者。

依 循步驟 3 到 4， 檢視其他的 SMTP 佇列中的訊息。 如果大部分的訊息是來自 domain . com， 您的電子郵件的郵件管理員 name@name 您可能會遇到反向 NDR 攻擊。 如果大部份這些訊息是來自 name@name domain . com， 您的電子郵件的郵件管理員無法您的電腦可能會設定因為開放式轉送 SMTP 或可能是目標的轉接已驗證的攻擊。 如需有關如何解決這個問題， 請按一下下列文件編號， 檢視 「 Microsoft 知識庫 」 中的文件中的文件：

324958 (http://support.microsoft.com/kb/324958/) 如何封鎖開放式 SMTP 轉送及清潔備份上 SBS Exchange Server SMTP 佇列

如 果您的電腦已設定為開放式 SMTP 轉送， 或您如果您電腦為目標的已驗證的轉接攻擊， 沒有 ◎ 要設定收件者篩選在 Exchange 2003 ＞： 步驟 2 " 設定收件者篩選功能在 Exchange 2003： 步驟 2 "。 不過， 如果您的電腦是反向， NDR 攻擊的目標建立收件者篩選器， 以防止接受傳送給收件者的人都不存在的訊息， Exchange Server 2003。 如果要執行這項操作， 繼續進行設定收件者篩選在 Exchange 2003 ＞： 步驟 2 」

回此頁最上方

步驟 2： 設定收件者篩選在 Exchange Server 2003

在預設的 Exchange 組態設定， 作為不管電子郵件別名， 訊息會送到本機是接受電子郵件傳送給 您的電子郵件網域名稱 . com。 電子郵件別名的電子郵件地址是在左邊的部份會在符號 (@) 如果電子郵件訊息是傳送至別名是無效， Simple Mail Transfer Protocol (SMTP) 服務會接收整個訊息， 並再查詢 Active Directory 目錄服務給使用者或群組具有相符的電子郵件別名通訊群組。 如果電子郵件是傳送到 @ 您的電子郵件網域 com， SMTP 之名稱不正確的使用者名稱查詢 Active Directory 為使用者或分配群組， 例如， 有 不正確的使用者名稱 @ 名稱為您的電子郵件網域 . com 別名。 不過， 如果電子郵件別名不存在， Exchange 嘗試傳送 NDR 給原始的電子郵件訊息寄件者。 這可能會造成許多訊息、 佇列， 或兩者， 才會出現在 [ Exchange 系統管理員 」。

Exchange 會接受電子郵件訊息之前， 在您啟用收件者篩選， Exchange 驗證電子郵件地址。 在這種情況下， 如果沒有符合此電子郵件別名會出現在 Active Directory， NDR 會仍產生。 不過在這種情況下， 它負責的 SMTP 伺服器而的 Exchange 伺服器來傳送 NDR 再產生並傳送。

注意 只有在 Exchange 2003 Server 可用的是收件者篩選功能。

若要設定收件者篩選， 請依照下列步驟執行：

1.	啟動 [Exchange 系統管理員] 工具。.
2.	展開 [ 通用設定 ] ， 在 郵件傳遞 ， 按一下滑鼠右鍵然後按一下 [ 內容 ] 。
3.	按一下 收件者篩選 ] 索引標籤按一下以選取 [ 篩選收件者的人都不在 [ 目錄 ] 核取方塊， 然後按一下 [ 確定 ] 。
4.	當您收到下列訊息， 請按一下 [ 確定 ] ： 如依照預設， 它們就會不啟用連線、 收件者， 及寄件者篩選以手動方式必須啟用在特定的 SMTP 虛擬伺服器 IP 位址分配。 如何啟動任一上述篩選類型的相關資訊，請讀取其相關說明。.
5.	展開 [ 伺服器 展開您的電腦， 展開 [ 通訊協定 ] 在 [ 預設 SMTP 虛擬伺服器 ， 按一下滑鼠右鍵， 展開 [ SMTP 、， 然後按一下 [ 內容 ] 。
6.	在 [ 一般 ] 索引標籤， 按一下 [ 進階 ] 。
7.	按一下 [ 編輯 ] 按一下以選取 [ 套用收件者篩選器 ] 核取方塊， 按然後一下三次 [ 確定 ] 。

注意 如果您在前端 / 後 - 結束環境， 正在執行 Exchange 收件者篩選功能必須啟用在 SMTP Bridgehead 伺服器或伺服器。

當您啟用收件者篩選， 一種特定的技術， 無法使用您的 Exchange 伺服器可能會用來收集有關您的組織中有效的電子郵件地址資訊。 這項技術稱為 Directory Harvest 攻擊。

如需有關如何避免這種攻擊， 請按一下下列文件編號， 檢視 「 Microsoft 知識庫 」 中的文件中的文件：

842851 (http://support.microsoft.com/kb/842851/) 有安全性更新可用， 以協助防止列舉型別的 Exchange Server 2003 電子郵件地址

回此頁最上方

步驟 3： 清除 Exchange 佇列

從您的電腦上的 SMTP 佇列中移除 UCE。 如果要執行這項操作，請依照下列步驟執行。:

警告 ， 處理程序期間會刪除所有郵件， 會指向外部 SMTP 收件者。 內部電子郵件訊息， 並且從網際網路傳入的電子郵件不受影響。 暫存， 這些設定值和一般郵件流量 Exchange SMTP 佇列會清除後會復原。

1.	啟動 「 伺服器管理 」 工具。
2.	展開 [ 進階管理 展開您的 Exchange 組織， 然後按一下 [ 連接器 。 注意 此程序需要 SMTP 連接器。
3.	請使用下列其中一種方法：: • 如果 Windows SBS - 架構電腦上並沒有任何 SMTP 連接器， 您必須建立一個。 如果要建立 SMTP 連接器， 請依照下列步驟執行： a. 以滑鼠右鍵按一下 [ 連接器 ] 指向 New ， 然後按一下 [ SMTP 連接器 。 b. 在 [ 名稱 ] 方塊， 鍵入 temporary smtp connector. c. 按一下 [ 新增 ] 按一下在 [ 伺服器 ] 方塊， Windows SBS - 架構您的電腦， 然後按一下 [ 確定 ] 。 d. 按一下 [ 地址空間 ] 索引標籤， 及 [ 新增 ] 。 e. [ SMTP ， 請按一下 [ 確定 ] ， 保留在 [ 電子郵件網域 ] 方塊， 星號和按一下 [ 確定 ] 。 f. 按一下 [ 一般 ] 索引標籤。 • 如果您的 Windows SBS - 架構電腦有 SMTP 連接器， 您必須修改連接器。 通常， Windows SBS SMTP 連接器命名為 SmallBusiness SMTP 連接器。 如果要修改此連接器， 請依照下列步驟執行： a. 在這個連接器， 按一下滑鼠右鍵然後按一下 [ 內容 ] 。 注意 如果您有多個 SMTP 連接器， 使用 地址空間 ] 索引標籤上之 SMTP 位址空間中的星號， 其中包含一個。 b. 按一下 [ 一般 ] 索引標籤， 並然後記下此索引標籤上所列所有設定值。 您 Exchange 佇列清除之後， 您必須還原這些設定值。
4.	請將它放在方括弧內， 輸入為， 無效的 IP 位址然後按一下 [ 轉送所有郵件透過此連接器至下列智慧主機 。 舉例來說， 輸入 [99.99.99.99].
5.	按一下 [ 傳遞選項 ] 索引標籤， 及 [ 經由此連接器傳送訊息時指定 。
6.	在 [ 連線時間 清單， 按一下 [ 每天下午 11: 00 執行 ， 然後再按一下 [ 確定 ]
7.	onenote 展開您的 Windows SBS - 架構電腦在左窗格的伺服器管理工具， 依序展開 [ 通訊協定 ] 在 [ 預設 SMTP 虛擬伺服器 ， 按一下滑鼠右鍵， 展開 [ SMTP 展開 [ 伺服器 和然後按一下 [ 停止 ] 。
8.	當 [ 預設 SMTP 虛擬伺服器已成功地停止， 在 [ 預設 SMTP 虛擬伺服器 ， 按一下滑鼠右鍵並按一下 [ 開始 ] 。
9.	[ 預設 SMTP 虛擬伺服器成功地啟動之後,， 等待大約 10 分鐘。 注意 當您重新啟動預設的 SMTP 虛擬伺服器， 它 re-enumerates 電子郵件訊息， 並將它們放入對 Windows SBS SMTP 連接器， 您設定單一佇列。
10.	在左窗格的伺服器管理工具， 展開 [ 伺服器 、 展開您的 Windows SBS - 架構電腦， 然後再按一下 [ 佇列 ] 。
11.	請注意在 Windows SBS SMTP 連接器， 您設定旁邊出現的訊息的總數。 這個數目必須穩定， 以便您可以在同一時間移除所有電子郵件。
12.	每隔 15 分鐘，， 佇列 上按一下滑鼠右鍵， 然後按一下 [ 重新整理 。
13.	重複執行步驟 12， 直到將保持不變的 Windows SBS SMTP 連接器佇列中的訊息數目。
14.	在右窗格， 在 Windows SBS SMTP 佇列上, 按一下滑鼠右鍵及 [ 尋找郵件 。
15.	在 要在搜尋中會列出的訊息數目 方塊， 按一下適當數目， 可讓您同時移除所有訊息。 如果您有 900 個郵件， 您是否要移除， 例如， 按一下 [ 1000 個 在 [ 要在搜尋中會列出的郵件數目 ] 方塊。
16.	按一下 [ 立即尋找 ] 。
17.	在 [ 搜尋結果 ] 清單， 選取所有郵件。 如果要執行這項操作， 請按一下訊息， 然後按 SHIFT + PAGE DOWN 鍵。
18.	以滑鼠右鍵按一下將所選郵件， 並按一下 [ 刪除 (無 NDR) 。
19.	當您收到下列訊息， 請按一下 [ 是 ] ： 確定您是否要刪除佇列中的訊息嗎 ? 注意 如果您正在移除許多訊息， 移除程序可能需要很長的時間。
20.	在訊息成功地移除， 關閉 尋找郵件 連接器名稱 對話方塊中，所顯示 Microsoft Office 產品的版本編號。.
21.	佇列 上, 按一下滑鼠右鍵， 然後按一下 [ 重新整理 。
22.	請注意在 Windows SBS SMTP 連接器， 您設定旁邊出現的訊息的總數。 這個數目必須是零。
23.	重複步驟 21 和 22 每隔 5 分鐘， 以確定 Windows SBS SMTP 佇列的目前是否保有在零訊息有關。 如果的 Windows SBS SMTP 佇列中的郵件數量增加， Exchange Server 2003 仍在處理外部傳送的訊息。 在這種情況下， 繼續以更新顯示， 直到 stabilizes 的 Windows SBS SMTP 佇列中的訊息數目。
24.	重複步驟 14 到 23， 直到保持為零的 Windows SBS SMTP 佇列中的訊息數目。 在這種情況下， Exchange Server 2003 SMTP 佇列已經清除的所有 UCE。

您的 SMTP 連接器組態之後清潔 Exchange SMTP 佇列， 還原成原來的設定。 如果您建立暫存 SMTP 連接器， 移除它。 如果要執行這項操作，請依照下列步驟執行。:

1.	在左窗格的伺服器管理工具， 展開 [ 連接器 暫存 SMTP 連接器 上, 按一下滑鼠右鍵， 然後按一下 [ 刪除 ] 。
2.	當您收到下列訊息， 請按一下 [ 是 ] ： 您確定您要刪除 ' 暫存 SMTP 連接器 '%

重新 注意 後您修改或移除 SMTP 連接器， 您必須啟動您的 SMTP 虛擬伺服器。

如 果填入 Exchange 佇列正在等候要傳送到外部收件者在您完成此程序外, 寄郵件您的電腦可能會設定為開放式 SMTP 轉送， 或目標的轉接已驗證的攻擊可能是您的電腦。 如需有關如何解決這個問題， 請按一下下列文件編號， 檢視 「 Microsoft 知識庫 」 中的文件中的文件：

324958 (http://support.microsoft.com/kb/324958/) 如何封鎖開放式 SMTP 轉送及清潔備份上 SBS Exchange Server SMTP 佇列

回此頁最上方

其他相關資訊

傳送 UCE 到電子郵件收件者的使用者發現方法， 以解決許多電子郵件訊息傳送系統內建的電子郵件篩選器。 在這種情況下， 哪些人傳送 UCE 人嘗試在電子郵件伺服器上利用的傳遞狀態通知功能。 在一般的電子郵件訊息系統， NDR 傳遞狀態通知郵件會產生無法被傳遞電子郵件訊息時。 除此之外， NDR 此郵件通常會包含無法傳遞郵件的內容。 這個行為遵循 RFC 標準。 因此， 最郵件系統行為這種方式。

連絡人的人傳送 UCE 使用此 NDR 訊息來傳送 UCE。 這種類型的 UCE 傳送稱為反向 NDR 攻擊。 這種類型的 UCE 傳遞以下列方式運作方式：

1.	來路不明的商業電子郵件建立具有目的地收件者的電子郵件地址的該電子郵件訊息寄件者欄位中。
2.	虛構使用者名稱以及與您的網域名稱新增為這個電子郵件訊息的收件者。
3.	這個來路不明的商業電子郵件訊息傳送至您的網域。
4.	因為它是傳送至您的網域會您的電子郵件伺服器接受此郵件。
5.	因為收件者不存在您的電子郵件伺服器無法傳遞此郵件。
6.	您的伺服電子郵件器會將 NDR 傳送至連絡人的人會顯示為的這個郵件寄件者。 在這個案例中， 連絡人的人會顯示為訊息寄件者是外部收件者從郵件管理員帳戶接收 NDR。 將連絡人的人傳送 UCE 置給預定的收件者的 UCE 於在該郵件的 [ 寄件者 ] 欄位中。 給預定的收件者因此， 從您的電子郵件網域中郵局主管帳戶接收 NDR。
7.	來自於您的網域郵件管理員位址的 NDR 送到外部的電子郵件地址。 這個 NDR 可能包含原始 UCE 郵件。
8.	疑有他的使用者可能會讀取這個 NDR 與 UCE 訊息一起使用。 因此， UCE 郵件已成功地傳送到外部收件者的人是列在寄件者欄位之原始電子郵件訊息。

如需有關， 相關主題的詳細資訊請按一下下列文件編號， 檢視 「 Microsoft 知識庫 」 中的文件中的文件：

823866 (http://support.microsoft.com/kb/823866/) 如何在 Exchange 2003 中使用即時封鎖清單 (RBL) 設定連線篩選和設定收件者篩選

回此頁最上方