技术园地
TECHNOLOGY
如何查询黑客是否正在利用Exchange漏洞发送垃圾、病毒邮件
近期有Exchange客户遇到用户信箱被自动发送垃圾邮件的行为,想知道这种情况到底是因为密码被黑客破解通过SMTP协议发送的,还是说因为Exchange漏洞导致?
我方工程师根据此问题,找了相关案例为大家解密查询办法:
打开“Exchange 命令行管理程序”,用以下命令可以查询是否为黑客利用漏洞来发送邮件,比如查询用户user1@domain.com在2021年11月10日9:30~18:00发送的所有邮件:
如查询结果SourceContext中带有ClientType:WebServices,说明就是被黑客利用Exchange漏洞通过EWS协议来发送的邮件,采用非正常发送邮件的协议。
用户通过正常协议发送邮件后ClientType一般有以下几种:
1.Outlook AnyWhere协议发送:ClientType: MOMT
2.OWA发送:ClientType: OWA
3.移动端Exchange协议发送:ClientType: AirSync
例如用OWA发送:
扩展
打开“Exchange 命令行管理程序”并运行以下命令查看当前Exchange详细内部版本号。
如Exchange2019 CU9版本低于15.02.0858.015则在此漏洞影响的版本范围。
如Exchange2019 CU8版本低于15.02.0792.013则在此漏洞影响的版本范围。
如Exchange2016版本低于15.01.2176.012则在此漏洞影响的版本范围。
如Exchange2013版本低于15.00.1497.015则在此漏洞影响的版本范围。
Exchange各个内部版本号和下载链接参考:
https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
在此提醒企业的IT运维人员,还没有升级到最新版本的Exchange客户,建议近期尽快提上日程,不管哪种被利用,黑客最初始的操作就是发送垃圾,更有可能长期监控往来邮件内容,借机实施经济诈骗。
所以任何安全问题都需要引起重视,提早部署各类安全产品,例如SSL证书,S/MIME证书,外发垃圾监控服务,反垃圾安全网关服务等等,如有相关需求,请随时联系靠谱邮件哟!
