AD.Exchange Server 사용 port

출발지

목적지

Protocol

Service Port

Action

용도

적용기간

IP

IP

(TCP/UDP)

사용자 대역 추가

서버 IP

TCP/UDP

53

DNS

DNS 조회

항시적 사용

사용자 대역 추가

서버 IP

UDP

67

DHCP

DHCP 서비스 사용 시

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

88

Kerberos

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

389

LDAP

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

3268

GC

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

135

RPC

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

137

NetBIOS Name resolution

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

UDP

138

NetBIOS datagram service

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

139

NetBIOS session service

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

1024~5000,
49152 ~ 65535

RPC dynamic assignment

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

445

SMB

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP/UDP

464

Kerberos Password Change

Active Directory 서비스

항시적 사용

사용자 대역 추가

서버 IP

TCP

25,587

SMTP

Exchange 메일 발송

항시적 사용

사용자 대역 추가

서버 IP

TCP

80, 443

HTTP/HTTPS

Exchange 메일 서버 접속

항시적 사용

 

Exchange 2013부터 EMC(Exchange Management Console) 대신 Web기반인 EAC(Exchange Administrative Center)로 사용이 가능합니다.

Exchange Queue를 보기에 상당히 불편해 졌는데요 이에 따라 강화된 Exchange Manage Shell을 사용해 Queue상태를 확인하는 명령어를 살펴보겠습니다.


기본 Queue 명령은 Get-Queue를 사용합니다.


Get-messageTrackinglog messageID를 사용한 Detail 보고서 


Get-queue를 누르면 현재 Mail서버에서만의 큐상태를 확인할 수 있습니다.

운영중인 모든 Exchange Server Queue상태를 보려면 Get-Transportservice | get-queue 명령을 입력합니다.

삭제한 부분은 있지만 Mail-01 Mail-02서버를 포함한 모든 Exchange Server의 큐상태를 확인할 수 있습니다.


큐가운데 Count값이 높은 것은 아직 처리가 안되었다고 판단하여 이유를 확인해 봐야 합니다.


 


 

 

 

 



안녕하세요

저희 회사를 비롯하여 여러 회사에 요즘 퍼지고 있는 메일이 니 몸캠 사진을 가지고 있으니 500$의 비트코인을 보내라는 스팸메일 입니다. 근데 메일을 보내 보낸사람도 나고 받는 사람도 나네요.. 내가 보낸적이 없는데... 그럼 이 메일은 어떻게 보내지는 걸까요?

먼저 스패머는 기업에 메일을 보내야 합니다. 
근데 그 기업에 다니는 사람들의 메일 정보가 없으니 찾아봐야겠지요? 어떻게 찾을 수 있을까요? 

바로 Email address 수집을 위한 공격을 합니다. 아래 그림과 같이 메일을 무작위로 보내요. a@pp.com, ab@pp.com, abc@pp.com.....겁나게 많은 알파벳과 숫자 특수문자를 넣어서 상대방 메일 서버에 보냅니다.
이것을 Directory or Dictionary harvest Attack이라고 합니다. 

그럼 메일 서버에서는 자신의 서버에서 없는 메일은 user unknown 이런식으로 NDR(Non Delivery Report)를 보내겠지요
그럼 스패머는 "아~ NDR이 없는 메일은 잘 들어 갔으니 실제 메일 사용자가 있겠네." 라고 생각할 수 있습니다.


그럼 이제부터 상대방한테 메일을 보내야 하는데 내가 쓰는 Email 서버 IP로 스팸을 뿌리면 금방 RBL(Real Black or Block List)에 걸리게 되겠죠. "아 씨x 100개 밖에 못보냈는데 IP 막혔네...." 이렇게 생각한 스패머는 "야...그럼 다른 방법을 이용해서 스팸을 보내자.." 머 이런식으로 생각을 하겠지요

그래서 스패머는 다른 회사에 감염 PC를 만듭니다. Email을 통해 "이쁜여자 사진입니다." 뭐 이렇게 보내면 무지한 사용자가 메일 첨부를 열고 실행하면 좀비 PC가 만들어 지지요. 그 다음 사용자 PC를 통해 대량의 스팸을 발생시킵니다.

기업 담당자는 이렇게 얘기합니다. "사내에서 외부로 25번 포트를 이용해 메일을 뿌려요.. 그래서 우리 회사 메일 IP가 RBL에 걸렸네요." 하지만 경우는 안티바이러스나 PC를 포멧해버리면 그만이므로 스패머가 유용하게 사용할 방법은 아니라고 판단합니다.

그래서 스패머는 다른 방법을 생각해내지요. "다른 회사(victim)메일 서버를 통해 A회사로 스팸을 보내자"라구요
그럼 아래와 같이 From주소를 스팸을 받을 회사 주소로 To도 스팸을 받을 회사 주소로..
발신자: a@a.com
수신자 : a@a.com
그리고 이 메일을 c@c.com으로 보냅니다. 

그럼 c.com메일 서버에서는 이렇게 말하죠 "야 우리 회사에 a@a.com 주소가 없어 어디보자...보낸사람이 a@a.com이니 이쪽으로 회신을 보내야겠다." 그리고 a@a.com으로 회신을 보냅니다.

그렇게 되면 Sender와 Recipients가 동일한 메일을 이 글을 보시는 님이 받게 되는 겁니다.
여기까지가 왜 동일한 발신자 수신자 계정으로 스팸이 수신되냐입니다.
그럼 어떻게 차단해야 하나요?라는 질문이 올텐데..이미 보유하고 계신 장비에 차단 기능이 있으면 차단하시면 되나 국내에 많이 사용되고 있는 장비에서는 차단방법이 없더군요. 

발신자 IP나 도메인, 이메일주소 차단은 의미가 없습니다. 위 설명한 내용을 보시면 이해가 되실 겁니다.
그래서 지금은 안티스팸서버를 교체할 수 없으니 아쉽지만 키워드로 차단하셔야 합니다.




안녕하세요

오늘은 Microsoft에서 제공하는 SMTPDiagTool을 사용해 보겠습니다.

SMTPDiag은 아래 사이트에서 다운이 가능합니다.https://www.microsoft.com/ko-KR/download/details.aspx?id=11393


사이트 접속 후 아래 언어를 선택합니다. (사실 Command가 영어라 큰 의미가 없습니다.ㅎㅎ)

파일 다운 후 특정 경로레 저장 하시면 아래와 같이 프로그램을 확인 할 수 있습니다.

그럼 시작 > CMD를 눌러 Command창을 띄어 보겠습니다.

CMD실행 후 아래와 같이 명령을 입력합니다.

SmtpDiag.exe 발신자메일주소 수신자메일주소 /V 옵션은 smtpdiag.exe를 누르면 확인이 가능합니다.

Smtpdiag.exe yks5001@naver.com yks5001@gmail.com /v로 네이버에서 구글로 메일이 갈수 있는지 확인해 보겠습니다.

명령을 입력하면 Local의 DNS상태를 확인하고 보내는 메일 서버(Naver.com)의 MX레코드를 확인합니다.

그리고 받는 메일 서버인 Gmail에 대한 MX 레코드를 확인합니다. 문제가 없으면 대부분 초록색으로 쭈~~욱

마지막으로 25번 Port를 통해 실제 연결 TEST를 하게 됩니다.

아래와 같이 ehlo 메세지를 보내고 Sender와 Recipient 정보 입력 후 250 OK가 떨어지는 것을 확인 할 수 있습니다.

마지막으로 보냄이 뜨면 실제 메일 전송에는 문제가 없다고 판단할 수 있습니다.

이 테스트는 주로 실제 상대방의 메일서버에 정상으로 연결할 수 있는지 확인하는 용도로 많이 사용됩니다.


감사합니다.


'02. Microsoft' 카테고리의 다른 글

SMTPdiag 메일 테스트 툴 사용 방법  (0) 2018.08.03
Office 언어팩, 언어교정팩  (0) 2014.09.03
550 Unknown User  (0) 2014.09.03
550 SC-002  (0) 2014.09.03
FAT, NTFS, exFAT 비교  (0) 2013.07.11


IT인들의 모임을 개설하였습니다. 이 모임을 통해 서로의 지식을 공유하며 각자의 스킬을 늘릴 수 있도록 지식과 기술을 공유할 예정입니다. 

저 혼자할 수 있는 부분은 아니고 같은 업을 가진 사람들과 같이 하고 싶습니다.

'01. 나의 일상' 카테고리의 다른 글

아티모에서 공유해요  (0) 2018.07.12
PC의 탄생부터 도메인 환경까지  (1) 2013.07.18
2013년 4월 4일 현재...  (0) 2013.04.04

 Exchange Server의 Database가 DAG로 Grouping 되어 있을대 2개의 Database는 서로의 Data를 복제하며 EDB의 가용성을 제공합니다.

 Daily EDB CopyStatus를 확인하려면 아래와 같은 명령어로 확인 및 처리가 가능합니다.


Get-MailboxDatabaseCopyStatus *

Get-MailboxDatabaseCopyStatus | where {$_.contentindexstate -eq "Failed"}

Get-MailboxDatabaseCopyStatus | where {$_.contentindexstate -eq "Failed"} | Update-MailboxDatabaseCopyStatus -CatalogOnly





'02. Microsoft > Exchange 2016' 카테고리의 다른 글

MailboxDatabaseCopyStatus 상태 확인  (0) 2018.06.12
Exchange 2016 Pre requirement  (0) 2018.05.16
    1. SEPM 복제 서버를 이용한 이전 작업 구성은 반드시 구 SEPM서버와 버전이 동일해야 합니다.
    2. SEPM을 설치 합니다.

    1. 사용 조건에 동의 합니다.

    1. 다음을 클릭합니다.

    1. 다음을 클릭합니다.

    1. 관리서버 구성 마법사가 실행됩니다.

    1. 사용자 정의 구성을 클릭합니다.

    1. 옵션을 선택합니다.

    1. 추가 사이트 설치를 클릭합니다.

    1. 기존 관리 서버 정보를 입력합니다.

    1. 파트너 인증서를 신뢰합니다.

    1. 다음을 클릭합니다.

    1. 사이트 이름을 변경합니다. Default 사이트는 공존환경에서 사용할 없습니다.

    1. 기본 내장 데이터베이스를 선택합니다.

    1. 데이터 베이스 정보를 확인 합니다.

    1. 데이터베이스가 복제 됩니다.

    1. 설치가 완료 되었습니다.

    1. SEPM2 서버에서는 Client 원격 사이트에서 온라인이라고 표시 됩니다.

    1. SEPM1에서는 아래와 같이 온라인으로 표시 됩니다.

    1. 원격 사이트(SEPM1) 추가된 복제 사이트(SEPM2) 확인 됩니다.

    1. 기존 서버인 SEPM1  > 정책 > 정책 구성 요소 > 사이트 SEPM2 대한 기본 관리 > 편집을 클릭합니다.

    1. 우선순위가 신규 서버로 설정 되어 있음을 확인할 있습니다.

    1. SEPM2 대한 관리 서버 목록을 할당합니다.

    1. 모든 클라이언트에 할당합니다.

    1. 기존 Client PC에서 아래 경로의 Sylink.xml 파일을 확인합니다.
"%AllUsersProfile%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Config"

 

    1. 관리 사이트에 대한 정보가 확인 됩니다.

    1. 24 작업   전체 클라이언트 컨텐츠를 업데이트 합니다.

    1. 정책 업데이트 아래와 같이 Client PC Sylink.xml 파일에 SEPM2 확인 됩니다.

    1. 기존의 SEPM서버를 Offline합니다.
    2. SEPM2서버에서 아래와 같이 클라이언트가 온라인으로 표시 됩니다.

    1. SEPM2서버의 SEPM에서 SEPM사이트를 제거합니다.

    1. 원격 사이트를 제거합니다.

 
Exchange 2016 requirement
 
  1. Windows Server 2012 - 원격 도구 관리 팩 설치
       
  1. Windows Server 2016 Mailbox role 필수 구성 요소를 설치합니다.
 Install-WindowsFeature NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation,RSAT-ADDS -Restart
  
  1. 컴퓨터를 재 시작 합니다.
  2. Exchange 2016 CU5 이상에는 .NET Framework 4.6.2가 필요합니다. Exchange 2016 CU5 설치 전 귀하의 서버를 .NET Framework 4.6.2로 업그레이드하지 않으면 오류가 발생할 수 있습니다. .NET Framework 4.5.2가 Exchange 서버에 설치되어 있으면 .NET Framework 4.6.2를 설치하기 전에 서버를 Exchange 2016 CU4로 업그레이드합니다.

  1. 아래의 구성요소를, 각각의 링크에 접속하시어 다운로드 받아서 설치 합니다.
  1. AD 스키마 업데이트를 위해 Exchange Server 2016 설치 미디어가 삽입된 드라이브로 이동하여 해당 명령어를 차례대로 입력합니다..\Setup.exe /prepareschema /IAcceptExchangeServerLicenseTerms
      
  1. /Setup.exe /PrepareAD /Organizationname:samsik /IacceptExchangeServerLicenseTerms
      
 
 


'02. Microsoft > Exchange 2016' 카테고리의 다른 글

MailboxDatabaseCopyStatus 상태 확인  (0) 2018.06.12
Exchange 2016 Pre requirement  (0) 2018.05.16

Event types in the message tracking log

event-id 필드 의 다양한 이벤트 유형 은 메시지 추적 로그의 메시지 이벤트를 분류하는 데 사용됩니다. 일부 메시지 이벤트는 한 가지 유형의 메시지 추적 로그 파일에만 나타나며 일부 메시지 이벤트는 모든 유형의 메시지 추적 로그 파일에 나타납니다. 각 메시지 이벤트를 분류하는 데 사용되는 이벤트 유형은 다음 표에 설명되어 있습니다..
Event name
Description
AGENTINFO
이 이벤트는 전송 에이전트가 사용자 지정 데이터를 기록하는 데 사용됩니다.
BADMAIL
Pickup 디렉터리 또는 Replay 디렉터리에서 전송하거나 반환 할 수없는 메시지입니다.
CLIENTSUBMISSION
사서함의 보낼 편지함에서 메시지가 전송되었습니다.
DEFER
메시지 배달이 지연되었습니다.
DELIVER
로컬 사서함에 메시지가 배달되었습니다.
DELIVERFAIL
에이전트가 사서함에없는 폴더로 메시지를 배달하려고했습니다.
DROP
배달 상태 알림 (DSN, 반송 메시지, 배달 못 함 보고서 또는 NDR이라고도 함)없이 메시지가 삭제되었습니다. 예 :
평가 승인 요청 메시지를 완료했습니다.
NDR없이 자동으로 삭제 된 스팸 메시지
DSN
배달 상태 알림 (DSN)이 생성되었습니다.
DUPLICATEDELIVER
수신자에게 중복 메시지가 전달되었습니다. 받는 사람이 여러 중첩 메일 그룹의 구성원 인 경우 중복이 발생할 수 있습니다. 중복 된 메시지는 정보 저장소에서 검색하고 제거합니다.
DUPLICATEEXPAND
메일 그룹을 확장하는 동안 중복 된받는 사람이 검색되었습니다.
DUPLICATEREDIRECT
메시지의 대체받는 사람이 이미받는 사람이었습니다.
EXPAND
메일 그룹이 확장되었습니다.
FAIL
메시지 배달에 실패했습니다. 소스에는 SMTP , DNS , QUEUE 및 ROUTING이 포함 됩니다.
HADISCARD
HARECEIVE
섀도 메시지가 로컬 데이터베이스 가용성 그룹 (DAG) 또는 Active Directory 사이트의 서버에 수신되었습니다.
HAREDIRECT
그림자 메시지가 생성되었습니다.
HAREDIRECTFAIL
그림자 메시지를 만들지 못했습니다. 세부 사항은 소스 컨텍스트 필드에 저장됩니다 .
INITMESSAGECREATED
중재받는 사람에게 메시지가 전송되었으므로 메시지가 승인을 위해 중재 사서함으로 보내졌습니다. 자세한 내용은 메시지 승인 관리를 참조 하십시오 .
LOAD
부팅 할 때 메시지가 성공적으로로드되었습니다.
MODERATIONEXPIRE
중재받는 사람의 중재자가 메시지를 승인하거나 거부하지 않았으므로 메시지가 만료되었습니다. 중재받는받는 사람에 대한 자세한 내용은 메시지 승인 관리를 참조 하십시오 .
MODERATORAPPROVE
중재받는 사람의 중재자가 메시지를 승인 했으므로 메시지가 중재받는 사람에게 배달되었습니다.
MODERATORREJECT
중재받는 사람의 사회자가 메시지를 거부 했으므로 메시지가 중재받는 사람에게 배달되지 않았습니다.
MODERATORSALLNDR
중재받는 모든 중재자에게 보낸 모든 승인 요청이 배달되지 않아 배달 못 함 보고서 (NDR 또는 반송 메시지라고도 함)가 발생했습니다.
NOTIFYMAPI
로컬 서버의 사서함의 보낼 편지함에서 메시지가 발견되었습니다.
NOTIFYSHADOW
로컬 서버의 사서함의 보낼 편지함에서 메시지가 발견되었으며 메시지의 섀도 복사본을 만들어야합니다.
POISONMESSAGE
포이즌 메시지 큐에 메시지를 넣거나 포이즌 메시지 큐에서 메시지를 제거했습니다.
PROCESS
메시지가 성공적으로 처리되었습니다.
PROCESSMEETINGMESSAGE
모임 메시지는 사서함 전송 배달 서비스에서 처리했습니다.
RECEIVE
메시지가 전송 서비스의 SMTP 수신 구성 요소 또는 Pickup 또는 Replay 디렉터리 (원본 SMTP:)에서 수신되었거나 사서함에서 사서함 전송 제출 서비스 (원본 :)로 메시지가 전송되었습니다 STOREDRIVER.
REDIRECT
Active Directory 조회 후에 대체받는 사람에게 메시지가 리디렉션되었습니다.
RESOLVE
메시지받는 사람이 Active Directory 조회 후 다른 전자 메일 주소로 확인되었습니다.
RESUBMIT
RESUBMITDEFER
Safety Net에서 재전송 된 메시지가 연기되었습니다.
RESUBMITFAIL
Safety Net에서 다시 전송 된 메시지가 실패했습니다.
SEND
전송 서비스간에 SMTP에 의해 메시지가 전송되었습니다.
SENDEXTERNAL
전송 서비스간에 SMTP에 의해 외부로 메시지가 전송되었습니다.
SUBMIT
Mailbox Transport Submission 서비스가 메시지를 전송 서비스로 성공적으로 전송했습니다. 를 위해 제출 이벤트의 소스 컨텍스트 속성은 다음과 같은 세부 사항을 포함 :
MDB    사서함 데이터베이스 GUID입니다.
사서함    사서함 GUID입니다.
이벤트    이벤트 순서 번호입니다.
MessageClass    메시지 유형입니다. 예를 들어, IPM.Note.
CreationTime    메시지 제출 날짜 - 시간입니다.
clientType    예를 들어 User, OWA또는 ActiveSync.
SUBMITDEFER
사서함 전송 전송 서비스에서 전송 서비스로의 메시지 전송이 지연되었습니다.
SUBMITFAIL
사서함 전송 전송 서비스에서 전송 서비스로의 메시지 전송이 실패했습니다.
SUPPRESSED
메시지 전송이 억제되었습니다.
THROTTLE
메시지가 스로틀되었습니다.
TRANSFER
콘텐츠 변환, 메시지받는 사람 제한 또는 에이전트 때문에받는 사람이 분기 된 메시지로 이동했습니다. 소스에는 ROUTING 또는 QUEUE가 포함됩니다 .
[Example]
Get-TransportService | Get-MessageTrackingLog -MessageID 로 검색하면 아래와 같이 Mail TrackingLog에 대한 이벤트를 확인할 수 있습니다.
  1. HARECEIVE : 섀도 메시지가 로컬 데이터베이스 가용성 그룹 (DAG) 또는 Active Directory 사이트의 서버에 수신되었습니다.
  2. HAREDIRECT :  그림자 메시지가 생성되었습니다.
  3. RECEIVE : 메시지가 전송 서비스의 SMTP 수신 구성로 메시지가 전송되었습니다 STOREDRIVER.
  4. REDIRECT : Active Directory 조회 후에 대체받는 사람에게 메시지가 리디렉션되었습니다.
  5. AGENTINFO : 이 이벤트는 전송 에이전트가 사용자 지정 데이터를 기록하는 데 사용됩니다.
  6. TRANSFER : 콘텐츠 변환, 메시지받는 사람 제한 또는 에이전트 때문에 받는 사람이 분기 된 메시지로 이동했습니다. 소스에는 ROUTING 또는 QUEUE가 포함됩니다 .
  7. DROP : 배달 상태 알림 (DSN, 반송 메시지, 배달 못 함 보고서 또는 NDR이라고도 함)없이 메시지가 삭제되었습니다
  8. SENDEXTERNAL : 전송 서비스간에 SMTP에 의해 외부로 메시지가 전송되었습니다.


Outlook 검색(색인)기능을 이용하면 가끔 “문제가 발생하여 검색을 완료할 수 없습니다” 또는 “항목이 아직 색인 생성 중이므로 검색 결과가 불완전 할 수 있습니다.”라는 오류를 확인할 수 있습니다.
그리고 이 문제는 Windows 10, Windows 8, Windows 7 컴퓨터에서 실행되는 모든 Outlook버전에서 발생합니다.
기본적으로 [Windows Search 서비스]가 실행되고 있다는 전제하에 아래 작업을 실행합니다.

1. 제어판을 실행합니다.
   
2. 검색 및 인덱싱 옵션을 클릭합니다. 
   
3. 아래 화면에서 고급을 클릭합니다.
   
4. Microsoft Outlook을 위치에서 제거 후 확인을 클릭합니다.
   
5. PC를 재부팅 합니다.
6. 1번부터 3번까지 작업을 수행 후 Microsoft Outlook을 다시 색인 위치에 추가 합니다
   
7. 색인 옵션 > 고급을 클릭합니다.
   
8. 다시 색인을 클릭합니다.
   


+ Recent posts

티스토리 툴바