也是苦，一早上7点电话打来：邮件无法收发。赶到现场一看，汗了…十几万的垃圾邮件堆在Queue里头。

太惨烈了赶紧删删删。。Que文件直接5G多了，图是稍晚的时候截的，所以数据只有2.2G和6W封了。

删除发往固定跃点域的所有邮件：（可参考这里：http://www.nowsun.net/?p=332）

Get-Message -Queue "MailServer\*" -ResultSize unlimited | where-object {$_.NextHopDomain -eq "yahoo.com.tw"} | remove-message -WithNDR $false –Confirm

去查看队列的邮件，主题全是乱码，发往巴西和雅虎台湾。难道又是某翔学校的毕业设计？

ironPort端口直接挤爆

伪造发件人，SMTP中继。唉，这是造的什么孽。

把接收连接器限制死吧，只允许邮件网关进来的邮件，其他的SMTP设备诸如传真机、扫描仪以及一些需要用到SMTP 25 发送服务的服务器就另外新建匿名接收连接器。

exchange2007   匿名中继SMTP设置参见

http://technet.microsoft.com/zh-cn/library/bb232021.aspx

加上了之后，暂时消停了。到了晚上8点的时候，又来了一大波…这下慌了神。

死活想不通，垃圾邮件网关（ironport）是怎么被绕过来的。

只有一种情况，就是exchange服务器的25号端口被直接开放给外网了，遂联系网络供应商一查。。。

果不其然……然后骂了他们一顿，他们又做了个破事儿：

把NAT出去的25端口全关了，这下好了。外网邮件一封进不来，

据说是去找安全厂商抓包定位来源去了…后续我就只能呵呵了，给2007打个SP3吧，趁机会……

教训：匿名SMTP一定不能放松，要写好开放给哪些可信任的主体或服务。有匿名接收器的情况下，25号端口千万不能直接开放给外网。

想想后果，队列一堆积，正常邮件和垃圾邮件一起夹杂，队列长达10000多无法批量去删，只能全部清空重新建立。那么正常邮件有一部分会被丢掉。万一有什么重要邮件，这个损失就相当大了。

附上过程中使用的命令：

检查que文件状态：

eseutil /mh "d:\exchange server\TransportRoles\data\Queue\Mail.que"

邮件追踪日志查询匹配某整个域的邮件（正则表达式，替换XXX和COM为自己的域名 如果是.com.cn 就写 com\.cn）

说白了就是查询所有发送人为 @xxx.com 域的邮件追踪记录

get-messagetrackinglog -Start "2014-7-30 0:31:00" -End "2014-7-30 0:41:00" -ResultSize unlimited | where-object {$_.Sender -match "\w+([-+.]\w+)*@XXX\.com"}

本文出自 “卡斯特梅的雨季” 博客，请务必保留此出处http://sodaxu.blog.51cto.com/8850288/1532553