问题:近期有Exchange企业邮箱用户遇到用户信箱被自动发送垃圾邮件的行为,想评估这种情况到底是因为密码被黑客破解通过SMTP协议发送的,还是说因为Exchange漏洞导致?
评估调研过程:
打开“Exchange 命令行管理程序”,用以下命令可以查询是否为黑客利用漏洞来发送邮件,比如查询用户user1@domain.com在2021年11月10日9:30~18:00发送的所有邮件:
Get-transportservice | Get-MessageTrackingLog -ResultSize unlimited -Start "11/10/2021 09:30:00" -End "11/10/2021 18:00:00" -EventId Submit -Sender "user1@domain.com" | fl MessageSubject,Timestamp,SourceContext
如查询结果SourceContext中带有ClientType:WebServices,说明就是被黑客利用Exchange漏洞通过EWS协议来发送的邮件,采用非正常发送邮件的协议。
用户通过正常协议发送邮件后ClientType一般有以下三种:
1.Outlook AnyWhere协议发送:ClientType: MOMT
2.OWA发送:ClientType: OWA
3.移动端Exchange协议发送:ClientType: AirSync
例如用OWA发送:
扩展
打开“Exchange 命令行管理程序”并运行以下命令查看当前Exchange详细内部版本号。
Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}
如Exchange2019 CU9版本低于15.02.0858.015则在此漏洞影响的版本范围。
如Exchange2019 CU8版本低于15.02.0792.013则在此漏洞影响的版本范围。
如Exchange2016版本低于15.01.2176.012则在此漏洞影响的版本范围。
如Exchange2013版本低于15.00.1497.015则在此漏洞影响的版本范围。
Exchange各个内部版本号和下载链接参考:
https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
在此提醒EXCHANGE企业邮箱的IT运维人员,如还没升级到最新版Exchange,建议尽快提上日程,不管哪种被利用,黑客最初始的操作就是发送垃圾,更有可能长期监控往来邮件内容,借机实施经济诈骗。
合作企业
行业和类目
服务响应
垃圾拦截率
网易企业邮箱优秀经销商
连续多年获得网易优秀经销商
23年只专注于企邮行业
一心一意专心致力于企业邮箱
一站式服务
满足企业信息化个性需求
售后保障
一对一邮箱顾问服务
申请
电话
咨询