Exchange NDR攻击 NDR 攻击通常指针对 “邮件退信机制(Non-Delivery Report,简称 NDR)” 的滥用攻击,即攻击者通过伪造邮件信息,利用邮件系统的自动退信功能,向目标发送大量无效退信或恶意退信,以达到干扰、诈骗或渗透的目的。 # 一、什么是 NDR(邮件退信)? NDR 是邮件系统的正常功能:当一封邮件因 “收件人地址不存在”“邮箱满了”“服务器拒绝” 等原因无法送达时,发送方的邮件服务器会自动生成一封 “退信通知”(即 NDR),告知发件人 “邮件未送达” 及原因。 例如:你向abc@a.com发送邮件,但该地址不存在,你的邮箱可能收到一封来自postmaster@example.com(邮件系统管理员邮箱)的退信,内容类似 “无法送达至 abc@example.com,地址无效”。 # 二、NDR 攻击的原理与核心手段 攻击者利用 NDR 的 “自动触发” 特性,通过伪造发件人或收件人信息,诱导目标邮箱服务器生成大量 NDR,或在 NDR 中植入恶意内容,具体手段包括: 伪造发件人,实施 “退信轰炸” 攻击者伪造目标用户的邮箱地址(如victim@company.com),作为 “发件人” 向大量无效的收件人地址(如random123@nonexist.com,invalid@fake.org)发送邮件。 由于这些收件人地址不存在,对方服务器会向 “伪造的发件人”(即victim@company.com)发送 NDR 退信,导致目标邮箱被大量退信塞满,干扰正常通信(类似 “邮件炸弹”)。 举例:攻击者伪造admin@school.edu.cn,向 10 万个随机生成的无效邮箱发送邮件,这些邮箱的服务器会向admin@school.edu.cn回复退信,导致学校管理员邮箱被几万封退信淹没。 # 处理方法 1.观察发件人地址,设置对应的反垃圾策略。 2.关闭NDR(但是坏处在于收不到退信了) 阅读全文 2025-07-22 丿记性不太好丶 0 条评论 47 次浏览
Exchange ExchangeServer配置禁止接收收件人为空白的策略 **场景:总收到收件人为空白的垃圾邮件,可以开启过滤功能。 ** Exchange 2016 和 Exchange 2019 邮箱服务器上的传输服务中提供了以下反垃圾邮件代理,但默认情况下未安装它们: 步骤 1:运行 Install-AntispamAgents.ps1 PowerShell 脚本,开启功能,Exchange默认不开启功能 ``` & $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1 ``` 步骤 2:使用 Shell 重启 Microsoft Exchange 传输服务 ``` Restart-Service MSExchangeTransport ``` 步骤 3:指定组织中的内部 SMTP 服务器 ``` Set-TransportConfig -InternalSMTPServers @{Add="<ip address1>","<ip address2>"...} ``` ``` Set-TransportConfig -InternalSMTPServers @{Add="192.168.10.80","192.168.10.81"} ``` 查看是否生效 ``` Get-TransportConfig | Format-List InternalSMTPServers ``` 查看发件人筛选是否开启 ``` Get-SenderFilterConfig | fl enabled ``` 启用发件人筛选 ``` Set-SenderFilterConfig -Enabled $true ``` 禁用发件人为空的邮件 ``` Set-SenderFilterConfig -BlankSenderBlockingEnabled $true ``` 查看状态 ``` Get-SenderFilterConfig | fl BlankSenderBlockingEnabled ``` 阅读全文 2025-07-22 丿记性不太好丶 0 条评论 50 次浏览
