文章編號: 909005 - 上次校閱: 2007年10月25日 - 版次: 1.2

在 [Exchange Server 2003 或在 Exchange 2000 Server、 Exchange 伺服器從郵件管理員帳戶的許多未傳遞回報填入佇列,因為的一個反向未傳遞報告攻擊

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

徵狀

正在執行 Microsoft Exchange Server 2003 的伺服器或 Microsoft Exchange 2000 Server 上, 您遇到一或多個下列徵狀:
  • Microsoft Exchange Server 佇列包含許多等候傳遞至外部地址的外寄郵件。在這種情況下每個這些電子郵件訊息有 postmaster name@name of your e-mail domain.com 在 [寄件者] 欄位中。
  • 網際網路服務提供者 (ISP) 會通知您 Exchange Server 伺服器會傳送來路不明的商業電子郵件 (UCE)。UCE 亦稱為垃圾郵件。
  • 當您瀏覽網際網路,從 Exchange Server 伺服器或本機區域網路 (LAN) 上的電腦時,網際網路存取是速度非常慢。
  • Store.exe 處理及 Inetinfo.exe 處理程序使用大量 CPU 時間及大量可用的記憶體。
  • 如果您停止簡易郵件傳送通訊協定 (SMTP) 服務,網際網路存取時間就會更快。此外,Store.exe 處理及 Inetinfo.exe 處理程序傳回給其典型的層級的 CPU 使用量及記憶體使用量。
  • 包含錯誤郵件資料夾的磁碟機空間用完。預設情況下,[錯誤郵件] 資料夾位於下列資料夾中。

    Exchange Server 2003
    C:\InetPub\Mailroot\
    Exchange 2000 伺服器
    C:\Program Files\Exchsrvr\Mailroot\vsi 1
回此頁最上方

發生的原因

如果伺服器是反向未傳遞報告 (NDR) 攻擊的目標,就會發生這個問題。
回此頁最上方

解決方案

如果要解決這個問題,建立 [收件者篩選以防止 Exchange 伺服器接受傳送至收件者不存在的訊息]。要這麼做,請您執行下列步驟。
回此頁最上方

步驟 1: 決定是否會 NDR 郵件佇列中訊息

  1. 啟動 Exchange 系統管理員。
  2. 展開 [伺服器]、 展開 Exchange 伺服器的伺服器然後再按一下 [佇列]。
  3. 在右窗格中按一下包含許多訊息的佇列],按一下 [尋找訊息,然後再按 [立即尋找]。
  4. 檢視傳回的項目] 的 [寄件者] 欄位。如果郵件的寄件者 postmaster name@name of your e-mail domain.com 該訊息會是 NDR 郵件。按兩下要檢視此郵件的外部收件者訊息。
請遵循步驟 3 到 4,以檢視該郵件的其他 SMTP 佇列。如果大部分的郵件是來自 postmaster name@name of your e-mail domain.com,您可能會遇到反向的 NDR 攻擊。如果大部分的這些訊息不是從 postmaster name@name of your e-mail domain.com,電腦可能設定為 SMTP 開放式轉送。或者電腦可能已驗證的轉送攻擊目標。如需有關如何解決這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
895853? (http://support.microsoft.com/kb/895853/ ) 如何疑難排解轉送郵件伺服器會發出在 Exchange Server 2003,並在 Exchange 2000 伺服器
如果電腦設定成開放的 SMTP 轉送,或是如果電腦已驗證的轉送攻擊的目標沒有足夠繼續 」 步驟 2: 設定 Exchange Server 2003 > 一節中的 [收件者篩選功能。不過,如果電腦反向的 NDR 攻擊目標建立 [收件者篩選器若要防止 Exchange Server 2003 伺服器接受傳送至收件者不存在的訊息]。若要執行此動作繼續在 「 步驟 2: 設定 Exchange Server 2003 > 一節中的 [收件者篩選功能。
回此頁最上方

步驟 2: 設定收件者篩選在 Exchange Server 2003

在預設的 Exchange 伺服器設定為本機無論郵件地址的電子郵件別名接受傳送給 name of your e-mail domain.com 的電子郵件。電子郵件別名是位於左側的電子郵件地址的一部份,在 @ (at 符號)。如果電子郵件訊息傳送給不是有效的別名,SMTP 服務會接收整個訊息。然後,SMTP 服務查詢 Active Directory 目錄服務,為使用者或通訊群組的群組具有相符的電子郵件別名。比方說如果電子郵件訊息傳送給 invalid user name@name of your e-mail domain.com,SMTP 服務會為使用者或通訊群組的群組具有 invalid user name@name of your e-mail domain.com 別名查詢 Active Directory。不過,如果不存在的電子郵件別名,Exchange 伺服器會嘗試將未傳遞報告 (NDR) 傳送給原始的電子郵件訊息寄件者。這可能會造成許多訊息、 佇列,或兩者都出現在 Exchange 系統管理員 」。

啟用收件者篩選之後 Exchange 伺服器會在 Exchange 伺服器會接受電子郵件訊息之前,確認電子郵件地址。在這種情況下如果沒有符合這個電子郵件別名會出現在 Active Directory 是仍然產生未傳遞報告 (NDR)。不過,在這種情況下是傳送 SMTP 伺服器而非 Exchange Server 伺服器產生,並傳遞 NDR 責任。

附註收件者篩選功能才可用在 Exchange Server 2003。
  1. 啟動 Exchange 系統管理員。
  2. 展開 [通用設定郵件傳遞,] 上按一下滑鼠右鍵,然後按一下 [內容]
  3. 按一下 [收件者篩選] 索引標籤,按一下以選取 [篩選不在目錄中是的收件者] 核取方塊然後再按一下 [確定]
  4. 當您收到下列訊息時,按一下 [確定]
    連線]、 [收件者,] 及 [寄件者篩選必須以手動方式啟用在特定的 SMTP 虛擬伺服器 IP 位址分配上如預設不啟用。如需如何啟用任何一或多個這些篩選類型的詳細資訊,參閱其相關的說明。
  5. 展開 [伺服器],展開 Exchange Server 伺服器、 展開 [通訊協定、 展開 SMTP、 用滑鼠右鍵按一下 [預設 SMTP 虛擬伺服器,然後再按一下 [內容]
  6. 在 [一般] 索引標籤上按一下 [進階]。
  7. 按一下 [編輯],按一下以選取 [套用收件者篩選] 核取方塊然後再按一下 [確定] 三次。
附註如果您在 front-前端/後端環境中執行 Exchange Server,SMTP 橋頭伺服器或伺服器上必須啟用收件者篩選功能。

啟用收件者篩選之後一特定的技巧可能會使用針對 Exchange Server 伺服器收集您組織中有效的電子郵件地址的相關資訊。這種技巧稱為目錄蒐集攻擊。如需有關如何避免這類攻擊的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
842851? (http://support.microsoft.com/kb/842851/ ) Microsoft Windows Server 2003 的 SMTP Tar Pit 功能
回此頁最上方

步驟 3: 清除 Exchange 伺服器佇列

移除電腦上的 SMTP 佇列中的 [UCE。要這麼做,請您執行下列步驟。

警告在這個過程會刪除寄給外部 SMTP 收件者的所有郵件。內部電子郵件訊息與來自網際網路的傳入電子郵件都不會受到影響。這些設定是暫時性的。Exchange Server SMTP 佇列清除之後,就會還原一般郵件流量。

  1. 啟動 「 伺服器管理 」 工具。
  2. 展開 [進階管理、 展開 Exchange 的組織,然後按一下 [連接線]。

    附註此程序需要 SMTP 連接器。
  3. 請使用下列方法之一:
    • 如果 Exchange Server 伺服器並沒有 SMTP 連接器,您必須建立一個。若要建立 SMTP 連接器,請依照下列步驟執行:
      1. 連接器] 上按一下滑鼠右鍵,指向 [新增],然後再按一下 [SMTP 連接器
      2. 在 [名稱] 方塊中,輸入 暫時的 SMTP 連接器
      3. 按一下 [新增]、 按一下 [伺服器] 清單中的 Exchange Server 伺服器,然後按一下 [確定]
      4. 按一下 [地址空間] 索引標籤,然後按一下 [新增]。
      5. 按一下 SMTP,按一下 [確定]、 將星號留在 [電子郵件網域] 方塊,然後再按 [確定]
      6. 按一下 [一般] 索引標籤。
    • 如果 Exchange Server 伺服器 SMTP 連接器,您必須修改連接器。若要修改此連接器,請依照下列步驟執行:
      1. 此連接器上按一下滑鼠右鍵,然後按一下 [內容]。

        附註如果您有一個以上的 SMTP 連接器,使用含有星號 SMTP 位址空間,在 [地址空間] 索引標籤中的一個。
      2. 按一下 [一般] 索引標籤,並接著注意列在這個索引標籤的所有設定。清理出 Exchange 伺服器佇列之後,您必須還原這些設定。
  4. 按一下 [經由此連接器至下列智慧主機,轉寄所有郵件,輸入 IP 位址不正確的然後再請方括弧括住。例如,鍵入 [99.99.99.99]
  5. 按一下 [傳遞選項] 索引標籤,然後按一下 [指定透過此連接器傳送郵件的時間
  6. 連線時間] 清單中按一下 [每天下午 11: 00 執行,再按 [確定]
  7. 在 [伺服器管理] 工具左方展開 [伺服器]、 展開 Exchange Server 伺服器、 展開 [通訊協定、 展開 SMTP預設 SMTP 虛擬伺服器,] 上按一下滑鼠右鍵,然後按一下 停止
  8. 當預設的 SMTP 虛擬伺服器已成功停止時,預設 SMTP 虛擬伺服器,] 上按一下滑鼠右鍵,然後按一下 [開始]。
  9. 預設的 SMTP 虛擬伺服器已順利啟動之後等候大約 10 分鐘。

    附註當您重新啟動預設的 SMTP 虛擬伺服器時,它重新列舉電子郵件訊息,並將它們置於單一佇列為您已設定 SMTP 連接器。
  10. [伺服器管理] 工具左方展開 [伺服器]、 展開 Exchange 伺服器的伺服器,然後再按一下 [佇列]。
  11. 請注意您所設定的 SMTP 連接器旁邊顯示出的郵件總數。這個數量的訊息必須穩定,讓您可以一次移除所有電子郵件。
  12. 每隔 15 分鐘 佇列,] 上按一下滑鼠右鍵,然後按一下 [重新整理]。
  13. 直到 SMTP 連接器佇列中的郵件數會保持不變,請重複步驟 12。
  14. 在右窗格中的 SMTP 佇列上按一下滑鼠右鍵,然後按一下 [尋找郵件]。
  15. 在搜尋中列出的訊息數目] 清單中按一下一個適當的數字,以讓您一次移除所有郵件。例如,如果您 900 您想要移除的訊息按一下 1000年的在搜尋中列出的郵件數] 清單中。
  16. 按一下 [立即尋找]。
  17. 搜尋結果] 清單中選取 [所有郵件]。以執行這項操作,再按一訊息然後按 SHIFT + PAGE DOWN 鍵。
  18. 所選的郵件上按一下滑鼠右鍵,然後按一下 [刪除] (無 NDR)
  19. 當您收到下列訊息時,按一下 [是]
    確定要刪除佇列中的訊息嗎?


    附註如果您要移除多郵件,移除程序可能要花很長的時間。
  20. 已成功移除訊息之後關閉 [尋找郵件 connector name] 對話方塊。
  21. 佇列,] 上按一下滑鼠右鍵,然後按一下 [重新整理]。
  22. 請注意您所設定的 SMTP 連接器旁邊顯示出的郵件總數。這個數量的訊息必須為零。
  23. 重複步驟 21 與 22 關於每隔 5 分鐘,以確定 SMTP 佇列會保持在零的訊息。如果 SMTP 佇列中的郵件數目增加時,Exchange 伺服器仍在處理外部傳遞的郵件。在這種情況下繼續更新顯示,直到穩定的 SMTP 佇列中的訊息數目。
  24. 重複步驟 14 到 23,直到 SMTP 佇列中訊息的編號能夠維持不零。在這種情況下 Exchange Server SMTP 佇列已被清除的所有 UCE。
您已清除的 Exchange Server SMTP 佇列之後還原成原始設定 SMTP 連接器組態。如果您建立暫時的 SMTP 連接器,將它移除。要這麼做,請您執行下列步驟:
  1. [伺服器管理] 工具左方展開 連接器暫時的 SMTP 連接器 上, 按一下滑鼠右鍵,然後按一下 [刪除]。
  2. 當您收到下列訊息時,按一下 [是]
    您是否確定要刪除 '暫存 SMTP 連接器'?
附註修改或移除 SMTP 連接器之後,您必須重新啟動 SMTP 虛擬伺服器。如需有關如何解決這個問題的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
895853? (http://support.microsoft.com/kb/895853/ ) 如何疑難排解轉送郵件伺服器會發出在 Exchange Server 2003,並在 Exchange 2000 伺服器
回此頁最上方

其他相關資訊

傳送 UCE 到電子郵件收件者的人發現了一種方法解決許多電子郵件訊息傳送系統內建的電子郵件篩選器。在這種情況下傳送 UCE 人會嘗試利用電子郵件伺服器中的傳遞狀態通知功能。在一般的電子郵件訊息傳送系統無法傳遞電子郵件訊息時,就會產生 NDR 傳遞狀態通知郵件。此外,此 NDR 郵件通常會包含無法傳送訊息的內容。這種行為會跟隨註解 (RFC) 標準要求。因此,最訊息系統的行為以這種方式。

傳送 UCE 人會使用這個 NDR 郵件傳遞 UCE。這種 UCE 傳遞稱為反向的 NDR 攻擊。UCE 傳遞這種運作方式如下:
  1. 來路不明的商業電子郵件是使用該電子郵件訊息的 [寄件者] 欄位中的目的地收件者的電子郵件地址所建立的。
  2. 虛構的使用者名稱,以及的網域名稱會新增為此電子郵件訊息的收件者。
  3. 這個來路不明的商業電子郵件訊息傳送至您的網域。
  4. 您的電子郵件伺服器接受這個訊息,因為訊息傳送至您的網域。
  5. 您的電子郵件伺服器無法傳遞這個訊息,因為收件者不存在。
  6. 您的電子郵件伺服器傳送未傳遞報告 (NDR) 給人而言,這封郵件的寄件者。在這種情況下會顯示為訊息寄件者之人員是外部收件者會接收 NDR 郵件管理員帳戶從。傳送 [UCE 人員會將預定的收件者的 [UCE 放置在訊息的寄件者欄位。因此,預定的收件者會將 NDR 接收郵件管理員帳戶,在您的電子郵件網域中。
  7. 將 NDR 傳送至外部的電子郵件地址上,來自您網域的郵件管理員地址。這個 NDR 可能包含原始的 UCE 郵件。
  8. 無戒心的使用者可能會讀取這個搭配 UCE 郵件的 NDR。因此,UCE 郵件已順利傳送到外部收件者列在原始電子郵件] 的 [寄件者] 欄位中。
如更多有關相關主題的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
823866? (http://support.microsoft.com/kb/823866/ ) 如何設定連線篩選,來使用即時封鎖清單 (RBLs),以及如何設定 Exchange 2003 中的 [收件者篩選功能
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
回此頁最上方
關鍵字:?
kbmt KB909005 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:909005? (http://support.microsoft.com/kb/909005/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。