Exchange 2003轉送(Mail Relay)設定有漏洞

話說昨天發現公司Exchange Server不正常，連入一看~媽呀，怎麼SMTP有一堆連線！而且每秒都有數筆到數十筆數SMTP連線，而且"佇列"中有一堆發不出去信，而且查了佇列中的信件，我非常確定都是"廣告信"、"色情信"之類。

呀！怎麼會這樣，我們的Mail Server被當成轉寄跳板。但查Log看起來都是正常連線，連線IP是內網的IP，所以我們在Exchange中轉送(mail Relay)限制設定不會擋下此IP的轉送。但非常怪奇的是這個內網IP是我們的Gateway Router，Router也會中毒發垃圾信嗎？不"太"可能！

內網有人中毒嗎？公司所有電腦都有安裝防毒軟體，但不無可能，我緊急發出通知，中斷所有Client網路，只留下Exchange與Router的線路，原本想一台一台找是那一台Bingo了，結果"嚇一跳"，Exchange的SMTP還在發信，Server中毒嗎？被入侵嗎？直覺是不太可能，Service Pack我都有乖乖上，而且有防火牆保護，防毒軟體也正常運作，沒有任何中毒訊息，實在看不出有任何異狀！！！


我一直在想那個連線IP的問題。看著看著想出了原因。各位先參考這篇「如何開啟 Exchange 的轉送設定(Mail Relay)」最後第五點的圖片，你會發現它是設定整個網段，而Exchange 2003的資料也是這樣教，那當然我們就這樣設，而且"多年"來也沒出事。

今日不出事，不代表明天就沒事。

原因很簡單：Spamer → Router → Mail Relay Server

這些Spamer會一直Scan網路上所有的Mail Server，然後找「替死鬼」，也就是Mail Relay有問題的Mail Server，然後透過這些Mail Server來幫忙來寄送垃圾信，人家反查時就會查出「人是你殺」(台)這種戲情！

從Router Forward進來的封包會帶「Router內網的IP」，而Router的內網IP也含在整個網段裡，所以Exchange Server認為是正常的要求就幫你轉寄了。Spamer成功達到目的，而我也成為受害者。

最後修改SMTP 轉送設定：

SMTP轉送設定(12)

SMTP轉送設定(2)

SMTP轉送設定(3)

IP的設定是讓你方便，但你最好改使用以上的設定，一個一個加入，只給必要的IP轉送的權限。如果一個一個加入對你來說有管理上的麻煩，那最好把「不考慮上述清單…」取消勾選，只讓通過權限認證的使用者才可以轉送。