Вы используете перспективу и используете ключ для readyboost?
Вы могли быть жертвой Обратного нападения Спама NDR. Названное Обратное рассеяние некоторыми.. Проверьте эту статью. Это говорит о 2003 SBS, но Exchange имеет ту же проблему. Это нападение кажется более общим правом теперь.
Взгляните на это также. Больше информации, возможно. Мы видели это точное поведение в нашем поле Ex 2003 недавно. Спам NDR
Скажите Вашему брандмауэру отбрасывать любые исходящие пакеты SMTP ко всем хостам кроме Вашего почтового сервера. Это предотвратит любой прямой спам SMTP от любой из Ваших потенциально зараженных рабочих станций.
Вы говорите, что Ваш почтовый сервер не является открытым реле, но Вы позволяете реле от LAN? Много людей делает это, когда они устанавливают MFPs, сканеры, и т.д. Можно протестировать путем скачкообразного движения на другой рабочей станции и выполнении:
telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: nobody@example.com
rcpt to: somebody@notyourdomain.com
если Вы возвращаетесь 250 OK
, Вы позволяете реле, и бот может легко передавать почту от Вашего почтового сервера.
Для нахождения рабочей станции, это посылает спам, захватите ноутбук, установите WireShark. Поместите свой ноутбук на концентратор (удостоверьтесь, что это - концентратор), и включите свой интерфейс LAN на Вашем брандмауэре в порт концентратора № 2 и затем включите другой кабель от порта концентратора № 3 в интерфейс LAN.
Осветите получение с фильтром дисплейного отображения как:
tcp.port eq 25 && src.ip != <your.mail.server.ip>
Можно ли просмотреть почтовые заголовки на тех электронных письмах фишинга? Искать Received: from
строка. Это скажет Вам, какой компьютер, из которого прибывает сообщение.
->> Received: from infected.computer ([192.168.1.X]) <<---
by your.exchange.server with ESMTP id 34si302829pzk.67.2010.04.22.11.58.26;
Если Вы скоро не добираетесь нигде с этим, могло бы стоить выполнить wireshark с подходящим фильтром для получения просто материала SMTP. Тем путем Вы будете, конечно, видеть, какая система включена, даже если заголовок фальсифицируется.
Проверьте, включается ли получатель, фильтрующий, или выключается. Если это будет выключено, и Exchange настроен для отправки NDR's, то сервер, вероятно, примет почту, отправленную в не существующие пользователи, заставляя очередь заполниться NDR's.
Включение получателя, фильтрующего, скорее всего, предотвращает это. Письма, отправленные в не существующие пользователи просто, не будут приняты Exchange.