查看来自IIS7的SMTP通信

Question

我遇到过一种情况，一台安装了IIS7的2008服务器的应用程序级别受到了威胁，正在从端口25发送垃圾邮件。我们已经运行了病毒扫描并删除了受感染的文件，但垃圾邮件仍在发送中。

我们知道垃圾邮件来自本地文件，因为防火墙阻止了端口25的入站，并且SMTP日志显示了来自本地服务器的所有请求。我们已经对站点(有许多)运行了LogParser扫描，以查找服务器上文件的任何POST数据，但结果看起来都是真实的。在端口25上发送数据的PID只是inetinfo.exe，所以这也没有多大用处。

我想确定是哪个文件发送了这封电子邮件，有谁能想到一种方法来做到这一点吗？

Answer 1

您是否关闭了本地出站属性下的smtp服务器？意思是127。等等...？另外，您是否查看过inetpub下的que文件夹，以查看是否存在违规消息？在某些情况下，文件可以将IIS中smtp上的远程服务器更改为通过代理或某些其他服务发送，这样它就会忽略您的扫描。

此外，并非所有邮件都必须使用端口25来发送电子邮件。如果创建者告诉它，它可以命中任何端口。