exchange服务器的smtp auth攻击 
     第三个客户的internet连接由于internet通信量很大所以运行得很慢。而当我让所有用户与internet断开后，通信量仍然很大。我查看了exchange 2000 server上的外出队列，发现有100个以上的队列，每个队列中都有非常大量的消息。我用esm随机检查了几个队列，发现这些消息的发送人或接收人都不是来自本地域的，这意味着邮件服务器很可能被用作邮件中继了。在缺省情况下，如果消息发送人能够成功通过exchange 2000（或之后的系统）的验证，那么该邮件服务器是允许进行中继的。
     鉴别黑客攻击。黑客可以使用两种不同的方法来获得有效的用户名和密码。他们可以重复地猜测guest账号或用户的密码，直到发现正确的密码；或者他们也可以发起黑客攻击，以获得有效的用户名和密码。垃圾邮件发送者只需要一个有效的用户名和密码就可以中继邮件，哪怕邮件服务器并没有开放中继。为了确定垃圾邮件发送者正在使用什么账号，我打开了esm并单击“组织”*“管理组”*“组织单元”*“服务器”，然后用右键单击服务器名，选择“属性”。然后我选择“诊断日志”标签。在“服务”窗口中，单击msexchangetransport。然后在“类别”窗口中，我将以下类别的日志的级别增加到最大：路由引擎、分类器、连接管理器、队列引擎、exchange存储驱动程序、smtp协议和ntfs存储驱动程序。随后我检查了事件日志，查找来自外部邮件服务器或未知的邮件服务器的验证。失败的登录尝试将会显示在安全日志中，它的事件id是680。我发现入侵者使用了非本地exchange服务器账号的用户账号来对邮件服务器进行验证。
     修复破坏。当我找出了验证账号之后，我采取了下列步骤来保护exchange服务器。
     1. 我更改了垃圾邮件发送者所使用的账号的密码。在类似的情况下，如果您认为垃圾邮件发送者可能有多个有效的用户id和密码，那么更改您网络中所有用户的密码。我还禁用了guest账号，并为启动服务器上的服务设置了专用的账号。不要使用管理员账号启动服务。如果一台机器被黑客攻击了，用来启动服务的账号可能也会不安全。
     2. 我禁用了对外的exchange服务器上的验证。为了禁用它，我打开esm，选择“组织”*“管理组”*“组织单元”*“服务器”*“<服务器名>”*“协议”*“smtp”，然后用右键单击缺省smtp虚拟服务器。我选择了“属性”，单击“访问”标签，然后单击“验证”。我保留了匿名访问的启用，但是清除了“基本验证”和“集成windows验证”校验框。清除这些校验框从根本上对smtp服务器禁用了auth命令。 
     3. 我在其它的内部exchange服务器上启用了中继，以确保它们可以向对外的exchange服务器发送邮件。我打开esm，用右键单击虚拟smtp服务器，然后选择“属性”。在“访问”标签中，单击“中继”，选择“只允许以下列表”，并填入允许向对外服务器中继邮件的内部邮件服务器。
     4. 完成这些更改后，我彻底测试了一遍这些配置。我测试了发往internet和从internet发回邮件，以及发往机构内的所有邮件服务器和从这些服务器发出邮件。这些更改有可能会使服务器之间的邮件流通陷入混乱，因此您可能会希望等到周末才更改。另一个更好的办法是，在将这些更改应用到实际环境中之前，先在实验环境中进行测试。
     5. 在这一事件中，我发现一台机器被严重地攻击了，因此我将它完全重装了一遍。在您可能遇到的情况中，您需要找出所有已被攻击的机器，然后将它们修复或者重装。     6. 我检查了ordb以确定该客户的邮件服务器是否被列入了开放中继的黑名单。很幸运，我在客户的邮件服务器被列入黑名单之前就发现并修复了黑客的攻击。如果一台邮件服务器开放了中继，或者该邮件服务器被认为大量发送垃圾邮件，它可能会被列入黑名单。有许多开放中继的数据库，您可以从查看到一系列这样的数据库。如果您的邮件服务器被列入黑名单，您可以发送请求来将服务器从黑名单删除，您也可以更改您邮件服务器的外部ip地址。如果您更改了邮件服务器的地址，您还必须更新邮件服务器的mail exchanger（mx）记录，否则发进来的邮件会被阻止。
     经验教训。要修复对exchange服务器的smtp auth攻击，并预防未来的攻击，强烈建议您使用我所采取的步骤。如果入侵者获得了有效的用户id和密码来进行邮件中继，您的邮件服务器将被纳入许多邮件黑名单中。预防这些攻击所要花费的时间，比起排除邮件传递的故障、将服务器从黑名单删除，以及修补漏洞所要花费的时间要少得多。
    不要惊慌；随时做好准备     攻击恢复计划是任何合理的it结构的一个组成部分。它能够帮助您有效地对网络攻击作出反应，而不是惊慌失措。请熟悉恶意入侵者所使用的工具和方法，并提前采取措施来防止他们对您的网络进行攻击。