但是,有时只做这些工作是不够的。如果你的服务器被严重的感染了,大量的感染信息将覆盖整个机器,而且你的杀毒软件可能无法正常工作。如果你处于这种情况中,那么你需要做如下的工作。
停止SMTP(Simple Message Transfer Protocol, 简单邮件传输协议)数据传输
首先,切断你的邮件服务器与互联网的连接。这将使你的服务器在恢复之前不再向外界传播病毒,也不再受到任何新的感染。
一种停止SMTP数据传输的方式是将你企业的SMTP连接设置为不向外发送邮件:
1.打开交换机系统管理程序>然后打开控制树的【管理组】(Administrative Groups)>【你的管理组】( your administrative group )> 【路由组】(Routing Groups) >【首选路由组】( First Routing Group) > 【连接】(Connectors) > 【你的SMTP 连接】(your SMTP connector).
2.右击你的【SMTP 连接】(SMTP connector)并且选择【属性】(Properties)。
3.现在选择【发送】(Delivery)选项栏。
4.从【连接时间】(Connection time)下拉菜单中选择【从不】(Never Run)选项。
在做这些的同时,你可能还会考虑停止SMTP虚拟服务器:
1.找到【管理组】(Administrative Groups) >【你的管理组】( your administrative group )>【服务器】( Servers) >【你的服务器】( your server) >【协议】( Protocols) > 【SMTP】> 【默认SMTP虚拟服务器】( Default SMTP Virtual Server)。
2.右击【默认SMTP服务器】( Default SMTP Virtual Server)并选择【停止】(Stop)命令。
使用户不再交换数据
某些时候,当正在清除病毒时,你可能需要让用户不与服务器交换数据。最容易的方式就是拔出服务器的网络电缆。这就保证了在你做好准备之前,任何人都不能从服务器收发任何数据。
冻结你的消息队列
现在到了清理消息队列的时候了。为了达到这个目的,你必须冻结消息队列并且删除不良信息。
1.为了冻结一个消息队列,通过交换系统管理控制台(Exchange System Manager console)找到【管理组】(Administrative Groups)->【你的管理组】( your administrative group) >【服务器】( Servers) >【你的服务器】( your server) >【队列】( Queues)。
2.控制台的细节窗空将显示服务器的消息队列表。右击含有不良信息的队列并选择【冻结】(Freeze)命令。(注意X.400队列不能被冻结。)
如果你想要冻结所有的队列,只需要简单的点击【禁止外发邮件】(Disable Outbound Mail)按钮(点击【允许外发邮件】(Enable Outbound Mail)按钮来重新开放外发邮件功能)。
定位和清除感染信息
从队列中定位并清除感染信息:
1.点击查找信息(Find Messages)按钮。
2.发现感染信息的最简单的方法是通过其主题。不幸的是,查找信息(Find Messages)功能不允许通过主题来查找。作为替代方式,在所查找范围内列出的消息数量中输入一个大的数字(如100000)。
3.对所有的消息设置【显示的消息属于哪种情况】(Show Messages Whose State Is)选项并点击【查找】(Find Now)。
4.结果是队列中所有的消息都会被显示出来。你可以把这些结果按照主题来分类,以使查找感染信息变得容易。
5.最后,选择并且右击被感染的消息,然后选择删除(NDR除外)。被感染的消息就会被从队列中删除。
6.对剩下的队列重复这些过程。
即使在所有的队列都被清理之后,有些在服务器上的邮箱仍有可能包含感染的消息。交换机并不提供手动清除所有邮箱的简便方法。你最好的选择就是通过安装有杀毒软件的交换机来扫描这些邮箱。你应该在用户重新连接到服务器之前做这些事情。
使服务器恢复到功能良好的状态
整个过程的最后一步就是要把服务器恢复到功能良好的状态:
1.允许邮件收发并启动那些被冻结了的队列。
2.开放SMTP虚拟服务器并把你的SMTP连接时间设定回【始终运行】(Always Run)。
3.把网络电缆重新插回服务器来使用户可以重新与交换机进行数据交换。
评论加载中…
