靠谱平台全方位电子邮件服务商

如何查询黑客是否正在利用Exchange漏洞发送垃圾、病毒邮件

发布时间:2021-11-26 阅读次数:442 次

近期有Exchange客户遇到用户信箱被自动发送垃圾邮件的行为,想知道这种情况到底是因为密码被黑客破解通过SMTP协议发送的,还是说因为Exchange漏洞导致?

我方工程师根据此问题,找了相关案例为大家解密查询办法:

 打开“Exchange 命令行管理程序用以下命令可以查询是否为黑客利用漏洞来发送邮件,比如查询用户user1@domain.com在2021年11月10日9:30~18:00发送的所有邮件:

Get-transportservice | Get-MessageTrackingLog -ResultSize unlimited -Start "11/10/2021 09:30:00" -End "11/10/2021 18:00:00" -EventId Submit -Sender "user1@domain.com" | fl MessageSubject,Timestamp,SourceContext

 

如查询结果SourceContext中带有ClientType:WebServices,说明就是被黑客利用Exchange漏洞通过EWS协议来发送的邮件,采用非正常发送邮件的协议。


用户通过正常协议发送邮件后ClientType一般有以下几种:

Outlook AnyWhere协议发送:ClientType: MOMT

OWA发送:ClientType: OWA

移动端Exchange协议发送:ClientType: AirSync

 

例如用OWA发送:


扩展

打开“Exchange 命令行管理程序”并运行以下命令查看当前Exchange详细内部版本号。

Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}

 

如Exchange2019 CU9版本低于15.02.0858.015则在此漏洞影响的版本范围。

如Exchange2019 CU8版本低于15.02.0792.013则在此漏洞影响的版本范围。

如Exchange2016版本低于15.01.2176.012则在此漏洞影响的版本范围。

如Exchange2013版本低于15.00.1497.015则在此漏洞影响的版本范围。

 

Exchange各个内部版本号和下载链接参考:

https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

 

在此提醒企业的IT运维人员,还没有升级到最新版本的Exchange客户,建议近期尽快提上日程,不管哪种被利用,黑客最初始的操作就是发送垃圾,更有可能长期监控往来邮件内容,借机实施经济诈骗。


所以任何安全问题都需要引起重视,提早部署各类安全产品,例如SSL证书,S/MIME证书,外发垃圾监控服务,反垃圾安全网关服务等等,如有相关需求,请随时联系靠谱®邮件哟!

返回列表