2024年4月25日发(作者:)

启用和分析Exchange SMTP身份验证记录

在Exchange Server的使用过程中,我们经常需要分析是否有人攻击或是盗用帐号

和是否被中继,特别是在发生SMTP队列存在大量待发不明邮件时,这种情况需要通过分析

是系统中病毒,还是被人中继,而在你确认没有开始Exchange Server的中继,你就需要检查

帐号是否被人盗用或是密码泄漏了.把SMTP验证过程记录下来可以帮助你,本文将说明如

何启用应用程序日志来记录通过Exchange Server SMTP尝试验证过程(无论成功或是失

败)及如何看懂这些日志:

一.开启日志功能

1.开启Exchange System Manager(EMS)

2.选择“Administrative Groups”->“Frist Administrative

Group”->“Servers”->“ServerName(Exchange的服务器名称)”,右键择择属性。

3.单击“Diagnostics Logging”(诊断日志)选项卡

4.单击选择左边“Services”栏的“MSExchangeTransport”

5.单击选择右边“Categories”栏的“SMTP Protocol”(SMTP 协议)

6.在最下面的“Logging Level”(日志级别)中选择“Maximum”(最高级)

7.单击“确定”窗口,完成设定。如下图:

(图一 Exchange 2003 Server的设定界面)

(图二 Exchange 2000 Server的设定界面)

二。如何看懂这些日志:

当有用户正在针对连接SMTP发送邮件,前需要进行身份验证,这个记录将在应用程

序日志中看到与以下内容类似的事件(你可以通过“管理工具”->“事件查看器”来查

看):

1.第一种日志情况