守内安：教你如何给邮件服务器做健康检查
&您是邮件服务器的管理员吗？
您的邮件服务器安全吗？
据ASRC的观察，被列入垃圾邮件过滤国际黑名单(RBL，Real-time BlackholeList)的企业邮件服务器，在2013年有明显增多的趋势。细究被列入黑名单的原因，不外乎是企业邮件服务器出现了一些漏洞被有心人士利用，而成为垃圾邮件发送主机或各种攻击跳板。邮件服务器出现安全漏洞，除了会让企业商誉受损外，若被用于攻击，或通过邮件服务器泄密，都有可能会有相关的法律责任，因此企业不可不慎!以下由ASRC列举几个邮件服务器常见问题，供企业对自身的邮件服务器做一个简单的健康检查。
DHA(Directory Harvest Attack) 弱点
许多邮件服务器预设的状态会在发件人进行发信前，先检查内部用户的清单，并对寄信的服务器做出回应。如果发件人要求发信的对象不存在，则响应用户不存在;反之则响应存在并可继续之后的发信过程，或接受寄信服务器输入下一位收件人。若有心人士事先准备好一份常用收件者账号的字典文件，并依序对邮件服务器尝试询问收件人是否存在时，便可根据邮件服务器的响应整理出一份有效的收件人列表，此为目录搜集攻击(Directory Harvest Attack)。
图一：邮件服务器默认会响应用户是否存在的信息。
要防范此种攻击的方式，必须将这个响应功能做关闭，或做一些高级的保护，比方一律响应用户存在。实作的方法非常多，市面上也有相关产品能提供此类防护。
信息泄露问题
若希望攻击一台邮件服务器，首先要知道它存在哪些弱点，进而根据这个弱点进行攻击，才较容易成功。要知道存在的弱点，就需要先知道该邮件服务器的种类及版本，如果版本刚好不是最新版，并存在已被揭露的重大弱点，那曝露于外的邮件服务器就会显得相当危险。尤其是许多邮件服务器预设在联机时及会显示出相关的版本信息，这无疑是有心人士在发动攻击前的一项重要参考指标。
图二：一连上邮件服务器，即可见邮件服务器的种类及版本。[1]&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】大家熟知的smtp命令有smtpdiag，利用这个命令可以测试很多在邮件传递中的问题，同样你也可以用nslookup去测试mx记录等等，这里介绍的是如何用如何 telnet 到运行简单邮件传输协议 (SMTP) 服务的上的端口 25，以解决 SMTP 通信问题。注意： Telnet 不允许您使用 Backspace 键。如果在键入时出错，必须按 Enter 键，然后开始键入新的命令。在以下步骤中，您要从命令行中运行 Telnet。要打开命令行，请单击“开始”，单击“运行”，在“打开”框中键入 cmd，然后单击“确定”。 1.您可以通过使用以下格式的 Telnet 命令来启动 Telnet 会话：注意：在键入每行内容之后按 Enter 键。telnet 名端口号例如，键入：telnet
25注意：您可以将服务器名 替换为您要连接到的 SMTP 服务器的 IP 地址或 FQDN。 记住在键入每个命令之后按 Enter 键。如果该命令起作用，您将会收到来自 SMTP 服务器的类似以下内容的消息：220
Microsoft Exchange
Mail Connector 注意：由于有许多不同版本的 Microsoft SMTP 或第三方 SMTP 服务器，因此您可能会收到来自接收服务器的不同的消息。不过，您肯定会收到包含服务器的 FQDN 和 SMTP 的版本的 220 消息。此外，所有版本的 Microsoft SMTP 在 220 消息中都包含“Microsoft”一词。 2.通过键入以下命令开始通信：注意：您可以使用 HELO 命令，但是 EHLO 是扩展 SMTP 动词集中的一个动词，SMTP 的所有当前 Microsoft 实现都支持该动词集。除非您认为扩展 SMTP 动词有问题，否则最好使用 EHLO。 如果该命令成功，您会收到以下消息：250 OK 3.键入以下命令向接收 SMTP 服务器通知邮件发件人：MAIL FROM:注意：该地址可以是您想使用的任何 SMTP 地址，但是最好考虑以下问题： 1.有些 SMTP 邮件系统会基于 MAIL FROM:地址筛选邮件，并且会禁止某些 IP 地址连接到 SMTP 邮件系统，或者如果连接 IP 地址与 SMTP 邮件系统所在的域不匹配，它还会禁止该地址向 SMTP 邮件系统发送电子邮件。在本例中，该域是 。 2.如果您在发送邮件时没有使用有效的电子邮件地址，您将无法确定在发送邮件时是否有问题，因为未送达报告 (NDR) 无法到达无效的 IP 地址。如果您使用有效的电子邮件地址，您将会收到来自 SMTP 服务器的以下消息： 250 OK – MAIL FROM
4.键入以下命令向接收 SMTP 服务器通知邮件的收件人。注意：最好始终使用要发送到的域中的有效收件人 SMTP 地址。例如，如果您要发送到 ，必须确保域中存在 。否则，您会收到 NDR。 使用您要发送到的人员的 SMTP 地址键入以下命令：RCPT TO:您会收到以下消息：250 OK – Recipient User@
5.键入以下命令通知 SMTP 服务器您已准备好发送数据：DATA您会收到以下消息： 354 Send data. End with CRLF.CRLF6.您现在已可以开始键入邮件的 822/2822 部分。用户将会在他们的收件箱中看到邮件的这一部分。键入以下命令以添加行：Subject:test 按两次 Enter 键。此命令不会显示任何信息。注意：按两次 Enter 键为了与 Request
Comments (RFC) 822 和 2822 保持一致。它规定 822 命令后面必须跟一个空行。 7.键入以下命令以添加邮件正文：This is a test message you will not see a response from this .8.在下一个空行中键入英文句点 (.)，然后按 Enter 键。 您会收到以下消息：250 OK 9.键入以下命令关闭连接：QUIT您会收到以下消息：221 closing connection 10.验证收件人是否收到您发送的消息。如果在应用事件日志中出现任何错误事件消息，或者接收邮件时出现问题，请检查主机的或通信。高级测试除本文前面列出的基本测试步骤外，您还可以使用送达回执对邮件进行双向测试。您可以使用此方法验证 SMTP 服务器是否可以接受入站连接，并且为发件人生成一个送达回执以测试 SMTP 服务器的出站连接。要为测试邮件请求送达回执，请参见本文“基本测试”一节的第 4 步，以确保提供的信息是可以接收送达回执的有效电子邮件地址。然后在本文“基本测试”一节的第 5 步中，在 Telnet 会话中键入以下命令： RCPT TO:User@ notify=success,failureyao1yao 的BLOG
用户名：yao1yao
文章数：89
访问量：9361
注册日期：
阅读量：5863
阅读量：12276
阅读量：346358
阅读量：1046290
51CTO推荐博文
邮件收发的过程会体现在日志中，即可以通过查看日志文件来排查收发故障。日志文件在umail***目录下的logs子目录下（umail/logs），下面的日志文件均以SMTP session successful代表成功。
在日志中，从左向右的箭头&&&代表你方服务器发送给对方的信息，从右向左的箭头&&&表示对方发送给你方的信息。
下面将以&外发邮件&、&内接邮件&和&内部发给内部&三种情况进行说明。
1、&外发邮件（出站）&日志查看步骤
邮件外发的过程，日志大致的经过步骤是：
SMTP-(in)&AntiVirus(反病毒检测) &AntiSpam（反垃圾检测）&Content-Filter（内容过滤器检测）&Routing（路由）&SMTP-(out)。
但一般查看SMTP-(in)&SMTP-(out)即可，详细步骤如下：
（1）在邮件外发给外网邮箱没有收到的情况下，请收集&发件人地址&、&收件人地址&和&发送时间&。
（2）进入umail/logs目录下。 |
（3）打开当天的smtp（in）日志，并按快捷键&Ctrl+F&或&编辑---查找&。输入收件人或发件人进行查找（对照时间）。
（4）以下是smtp（in）日志的具体分析。
10:52:41: ----------
10:52:50: Session 2885; child 1; thread 6648
10:52:50: Accepting SMTP connection from [127.0.0.1:1122]
连接是从127.0.0.1本地发起的。
10:52:50: --& 220 ESMTP READY
10:52:50: &-- EHLO U-Mail&
10:52:50: --&
Hello U-Mail, pleased to meet
10:52:50: --& 250-ETRN
10:52:50: --& 250-AUTH=LOGIN
10:52:50: --& 250-AUTH LOGIN
10:52:50: --& 250-8BITMIME
10:52:50: --& 250 SIZE 0
10:52:50: &-- AUTH LOGIN
10:52:50: --& 334 VXNlcm5hbWU6
10:52:50: &-- bmFuY3l6aG91QHp5bC5uZXQuY24=
10:52:50: --& 334 UGFzc3dvcmQ6
10:52:50: &-- ******
10:52:50: --& 235 Authentication successful
U-Mail邮件系统的一些认证等系统信息
10:52:50: Authenticated as
10:52:50: &-- MAIL FROM:
10:52:50: --& 250 &&, Sender ok
10:52:50: &-- RCPT TO: &&
10:52:50: --& 250 &&, Recipient ok
10:52:50: &-- DATA
Wed 0:52:50:Creating tempfile(SMTP):e:\umail\queues\temp\md5003945.tmp
10:52:50: --& 354 Enter mail, end with &CRLF&.&CRLF&
10:52:50: Message size: 151764 bytes
创建邮件的过程
10:52:50: Passing message through AntiVirus (Size: 151764)...
10:52:50: * &Message is clean (no viruses found)
10:52:50: ---- End AntiVirus results
10:52:50: Passing message to SmtpHook plugin
Wed0:52:50:fnSMTPMessageFuncNowprocessing:e:\umail\queues\temp\md.tmp
Wed0:52:50:Messagecreationsuccessful:e:\umail\queues\inbound\md.msg
Wed0:52:50:--&250Ok,messagesaved&Message-ID:1ED6394AFEDA5@IBMX61&
10:52:50: &-- QUIT
10:52:50: --& 221 See ya in cyberspace
反病毒及系统方面的检测
10:52:50: SMTP session successful (Bytes in/out: )
10:52:50: ----------
如果最后提示SMTP session successful那表明in日志是成功的（即邮件已经成功发送到远程队列），接下来查看outl日志。
（5）如果smtp（in）日志显示&SMTP session successful&字符，那么查看smtp（out）日志。
（6）打开当天的smtp（out）日志，并按快捷键&Ctrl+F&或&编辑---查找&。输入收件人或发件人进行查找（对照时间）。
（7）以下是smtp（out）日志的具体分析。
10:52:47: ----------
10:53:04: Session 2888; child 1
Wed 10:52:52: Parsing message &e:\umail\queues\remote\pd.msg&
10:52:52: * &From:
10:52:52: * &To:
Wed0:52:52:*Subject:=?gb2312?B?Rnc6IHtTcGFtP30gUmU6ICCxsbqj1sG38Mm9L4yOsqgvzEvW3S/J7tvaIA==?= =?gb2312?B?s/bYm8G/?=
Wed0:52:52:*Message-ID:&1ED6394AFED258864B@IBMX61&
发件人、收件人、主题等信息
Wed0:52:52: Attempting SMTP connection to []
10:52:53: Resolving MX records for [] (DNS Server: 61.144.56.101)...
Wed0:52:53:*P=010S=TTL=(55)MX=[126mx01.] {220.181.15.138}
解析收件方域名的MX记录与A记录（这里为）
10:52:53: Attempting SMTP connection to [220.181.15.138:25]
10:52:53: Waiting for socket connection...
Wed0:52:53:*Connectionestablished(192.168.1.183:1.15.138:25)
10:52:53: Waiting for protocol to start...
连接收件方服务器的25端口
Wed0:53:01:&--Anti-spamGTforCoremailSystem(126com[])
10:53:01: --&
10:53:01: &-- 250-mail
10:53:01: &-- 250-PIPELINING
10:53:01: &-- 250-AUTH LOGIN PLAIN
10:53:01: &-- 250-AUTH=LOGIN PLAIN
Wed0:53:01:&--250-coremail1Uxr2xKj7kG0xkI17xGrU7I0s8FY2U3Uj8Cz28x1UUUUU7Ic2I0Y2UrU5JizUCa0xDrUUUUj
10:53:01: &-- 250 8BITMIME
发件方邮件系统与收件方邮件系统的一些握手信息
10:53:01: --& MAIL From:&&
10:53:01: &-- 250 Mail OK
10:53:01: --& RCPT To:&&
10:53:02: &-- 250 &&&... Recipient ok
10:53:02: --& DATA
10:53:02: &-- 354 Enter mail, end with &.& on a line by itself
上述表明收件人是，并且存在该收件人
Wed0:53:02:Sending&e:\umail\queues\remote\pd.msg&to[220.181.15.138]
10:53:03: Transfer Complete
10:53:04: &-- 250 2.0.0 p441lm7L013317 Message accepted for delivery
10:53:04: --& QUIT
创建邮件，并发送邮件到收件人
10:53:04: &-- 221 2.0.0 ssg2 closing connection
10:53:04: SMTP session successful (Bytes in/out: 505/152474)
10:53:04: ----------
如果最后提示SMTP session successful那表明邮件已经发送成功了，已经到达收件方服务器了。
（8）如果smtp（out）日志显示&SMTP session successful&字符，那么代表邮件已成功发送给收件人（已成功从远程队列发出给收件人了）。
2、&内接邮件（入站）&日志查看步骤
邮件内接（别人发给你）的过程，日志的经过步骤是：
SMTP-(in)---AntiVirus(反病毒检测)---AntiSpam（反垃圾检测）---Content-Filter（内容过滤器检测）---Routing（路由）&
但一般查看SMTP-(in)即可，详细步骤如下：
（1）在别人发送邮件给您没有收到的情况下。请收集&发件人地址&、&收件人地址&和&发送时间&。
（2）进入umail/logs目录下。&
（3）打开当天的smtp（in）日志，并按快捷键&Ctrl+F&或&编辑---查找&。输入收件人或发件人进行查找（对照时间）。
（4）以下是smtp（in）日志的具体分析
10:49:51: ----------
10:50:28: Session 2752; child 1; thread 79944
10:49:54: Accepting SMTP connection from [93.152.162.153:4443]
10:49:54: --& 220 ESMTP READY
10:49:55: &--
10:49:55: EHLO/HELO response delayed 10 seconds
发送方连接到您们服务器
10:50:05: --&
, pleased to meet
10:50:06: &-- MAIL FROM: &&
10:50:06: Performing IP lookup ()
10:50:06: * & TTL=(60) A=[207.155.222.58]
Wed0:50:07:*P=010S=TTL=(60)MX=[126mx01.]
10:50:07: * & TTL=(52) A=[207.155.222.58]
10:50:07: ---- End IP lookup results
解析发件人的MX记录与A记录（这里是）
10:50:07: Performing SPF lookup ( / 93.152.162.153)
10:50:17: * &DNS: 10 second wait for DNS response exceeded&
10:50:17: * &Result: no SPF record in DNS
10:50:17: ---- End SPF results
检测发件方域名的SPF记录，SPF是一项反垃圾技术
10:50:17: --& 250 &&, Sender ok
10:50:18: &-- RCPT TO:
邮件发件者、接收者地址
10:50:18: Performing DNS-BL lookup (93.152.162.153 - connecting IP)
10:50:18: * &zen.spamhaus.org - failed
10:50:19: * &cblless.anti- - failed
10:50:19: ---- End DNS-BL results
对发件方域名或IP地址进行DNS-BL检测，这也是一项反垃圾技术
10:50:19: --& 250 &&, Recipient ok
10:50:23: &-- DATA
Wed 0:50:23:Creatingtempfile(SMTP):e:\umail\queues\temp\md5003858.tmp
10:50:23: --& 354 Enter mail, end with &CRLF&.&CRLF&
10:50:24: Message size: 585 bytes
发件方发送邮件到U-Mail
10:50:24: Performing DKIM lookup
10:50:24: * &File: e:\umail\queues\temp\md.tmp
10:50:24: * &Message-ID: 33e28m71s90-k4s35@tdmrdei
10:50:24: * &Result: neutral
10:50:24: ---- End DKIM results
10:50:24: Performing DomainKeys lookup (Sender: )
10:50:24: * &File: e:\umail\queues\temp\md.tmp
10:50:24: * &Message-ID: 33e28m71s90-k4s35@tdmrdei
10:50:24: * &Querying for policy:
10:50:24: * & &Querying: _ ...
10:50:25: * & &DNS: * &Name server reports domain name unknown
10:50:25: * &Result: neutral
10:50:25: ---- End DomainKeys results
系统方面的检测
10:50:25: Passing message through AntiVirus (Size: 585)...
10:50:25: * &Message is clean (no viruses found)
10:50:25: ---- End AntiVirus results
对发件方发送过来的邮件进行反病毒检测
10:50:25: Passing message through Outbreak Protection...
10:50:25: * &Message-ID: 33e28m71s90-k4s35@tdmrdei
10:50:25: * &Reference-ID: fgs=0
10:50:25: * &Virus result: 0 - Clean
10:50:25: * &Spam result: 1 - Clean
10:50:25: * &IWF result: 0 - Clean
10:50:25: ---- End Outbreak Protection results
10:50:25: Passing message to SmtpHook plugin
Wed0:50:25:fnSMTPMessageFuncNowprocessing:e:\umail\queues\temp\md.tmp
系统方面的检测
10:50:25: Passing message through Spam Filter (Size: 585)...
10:50:27: * &3.0 MDAEMON_DNSBL MDaemon: marked by MDaemon's DNSBL
10:50:27: * &0.7 DATE_IN_PAST_06_12 Date: is 6 to 12 hours before Received: date
10:50:27: * &3.1 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
10:50:27: * & & &[93.152.162.153 listed in zen.spamhaus.org]
10:50:27: * &1.0 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
10:50:27: * & & &[93.152.162.153 listed in zen.spamhaus.org]
10:50:27: * &3.0 URIBL_BLACK Contains a URL listed in
10:50:27: * & & &[URIs: penisbigmiracle.ru]
10:50:27: ---- End SpamAssassin results
10:50:27: Spam Filter score/req: 10.90/12.0（前面的分小于后面的分）
Wed0:50:27:Messagecreationsuccessful:e:\umail\queues\inbound\md.msg
Wed0:50:27:--&250Ok,messagesaved&Message-ID:33e28m71s90-k4s35@tdmrdei&
10:50:28: &-- QUIT
10:50:28: --& 221 See ya in cyberspace
计算邮件的分值（评分机制）
10:50:28: SMTP session successful (Bytes in/out: 764/395)
10:50:28: ----------
如果最后提示SMTP session successful那表明邮件已经接收成功了，已经到达您邮箱。
3、&内部发给内部&日志查看步骤
内部发给内部（即本域发给本域）的过程，日志的经过步骤是：&
SMTP-(in)---AntiVirus(反病毒检测)---AntiSpam（反垃圾检测）---Content-Filter（内容过滤器检测）---Routing（路由）&
但一般查看SMTP-(in)即可，详细步骤如下：
（1）在内部发给内部没有收到的情况下，请收集&发件人地址&、&收件人地址&和&发送时间&。
（2）进入umail/logs目录下。
（3）打开当天的smtp（in）日志，并按快捷键&Ctrl+F&或&编辑---查找&。输入收件人或发件人进行查找（对照时间）。
（4）以下是smtp（in）日志的具体分析。
17:33:47: ----------
17:34:40: Session 100; child 1; thread 2372
17:34:40: Accepting SMTP connection from [127.0.0.1:1921]
连接是从127.0.0.1本地发起的。
17:34:40: --& 220 ESMTP READY
17:34:40: &-- EHLO U-Mail WebMail
17:34:40: --&
Hello U-Mail WebMail, pleased to meet
17:34:40: --& 250-ETRN
17:34:40: --& 250-AUTH=LOGIN
17:34:40: --& 250-AUTH LOGIN
17:34:40: --& 250-8BITMIME
17:34:40: --& 250 SIZE 0
17:34:40: &-- AUTH LOGIN YWFhQGRvbWFpbi5jb20=
17:34:40: --& 334 UGFzc3dvcmQ6
17:34:40: &-- ******
邮件服务器的一些认证等系统信息
17:34:40: --& 235 Authentication successful
17:34:40: Authenticated as
17:34:40: &-- MAIL FROM: && SIZE=880
17:34:40: --& 250 &&, Sender ok
17:34:40: &-- RCPT TO: &&
17:34:40: --& 250 &&, Recipient ok
17:34:40: &-- DATA
发件人是，收件人是
Fri7:34:40:Creatingtempfile(SMTP):c:\umail\queues\temp\md.tmp
17:34:40: --& 354 Enter mail, end with &CRLF&.&CRLF&
17:34:40: Message size: 882 bytes
创建邮件的过程
17:34:40: Passing message through AntiVirus (Size: 882)...
17:34:40: * &Message is clean (no viruses found)
17:34:40: ---- End AntiVirus results
对邮件进行反病毒检测
Fri7:34:40:Messagecreationsuccessful:c:\umail\queues\inbound\md.msg
Fri7:34:40:--&250Ok,messagesaved&Message-ID:WorldClient-F.&
17:34:40: &-- QUIT
17:34:40: --& 221 See ya in cyberspace
17:34:40: SMTP session successful (Bytes in/out: )
17:34:40: ----------
如果最后提示SMTP session successful那表明邮件已经发送成功了，对方已收到。
了这篇文章
类别：┆阅读(0)┆评论(0)温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(985)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'如何查看邮件MX服务器的IP地址?',
blogAbstract:'如何查看邮件MX服务器的IP地址：\r\n按以下步骤：\r\n在windows 的dos 命令行窗口中\r\n&& 1. 输入 nslookup\r\n& &2. 输入 set type=mx\r\n&& 3. 输入 域名 （如 .cn ）,系统便可显示该域名下的所有Mx服务器所对应的IP地址。',
blogTag:'',
blogUrl:'blog/static/9',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:9,
permalink:'blog/static/9',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}