论坛首页 › ORF反垃圾邮件系统 › 在ORF快速定位被用来中继的用户

钉子 发表于 2010-8-16 14:43:51

在ORF快速定位被用来中继的用户

在已安装ORF测试版或是正式版的环境下，如果发现大量发送队列，发件人和收件均不是本域地址时，很有可能是某用户被他人用来中继垃圾邮件。查找方法如下：

1.打开ORF LOG Viewer。
2.载入最近的或是发生大量队列是期的LOG
3.以Message字段排序
http://www.5dmail.net/bbs/attachments/month_1008/20100816_303b7dc4b209174300a4r2MJ38zvOAl3.jpg

4.查找Message为“Authenticated Session”，收件人和发件人都不是本域地址的LOG，双击打开。


http://www.5dmail.net/bbs/attachments/month_1008/20100816_540ac72cd3b7232db49e0BYV4jR8ecyC.jpg

5.其中Message下 Authenticated Session （User\xxx）中的XXX为被中继利用的用户，禁用，删除，或是修改些用户的密码为更复杂。



http://www.5dmail.net/bbs/attachments/month_1008/20100816_3bd32d776824b818b6feXLDSRKN3sY2g.jpg

最后。如果有大量队列，建议对邮件队列进行清理。

hw233 发表于 2010-8-16 20:05:55

实在是太感谢了。。

qiqimxy 发表于 2011-4-14 15:42:48

不错的好方法。

hfli0817 发表于 2011-5-10 11:51:41

如果被中继不是用户，是组怎样解决

用lz的方法查了一下，发现被中继的是一个组，而不是用户，那该怎样处理呢？我将组加入了Sender Balcklist，但好像还有发信，崩溃，请指教！

钉子 发表于 2011-5-10 16:10:08

不可能是组的。如果可以你把验证的日志给提供一下。

hfli0817 发表于 2011-5-11 12:22:46

钉子楼主，您好

我作了截图，因涉及单位的私隐，我把域名划了下，请不要介意



上图看到有hrd@域名.com.cn的地址，每天有很多这个地址发到外面的邮件，例如：yahoo.com、sina.com和其他很多古怪的域名地址，Blacklist也没用，因为从内部发出的，ORF好像放行的



看明细，发现验证用户为hrd，但是查找了域内，只有为hrd的安全通信组，已建立了Exchage 别名，请钉子楼主看看，谢谢了！

[ 本帖最后由 hfli0817 于 2011-5-11 12:36 编辑 ]

钉子 发表于 2011-5-11 13:44:49

直接在ADUC中用hrd搜索。即可。

hfli0817 发表于 2011-5-11 18:15:58

就是在 AD 用户和计算机找过了，就是只搜索到为hrd的组，其他都是*hrd的其他用户

钉子 发表于 2011-5-13 20:56:03

这样吧。你通过帖子下我的签名，用签名上的联系方式找我，我QQ远程帮你查。

wusdpt 发表于 2011-6-16 10:09:24

钉子大哥很热心助人！谢谢分享方法！

查看完整版本: 在ORF快速定位被用来中继的用户