Блокируются учетки

[pr0g]

Version: Exchange 2016 CU23

С недавнего времени стали блокироваться учетные данные пользователей.

В журнале событий запись в кодом 4625 выглядит так:

Спойлер: EventID 4625

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: x.xxxxx
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xC000006D
Подсостояние: 0xC000006A

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: srv1697991853
Сетевой адрес источника: x.x.x.1
Порт источника: 45792

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Сетевой адрес источника указан мой UTM. Доступ к почтовому серверу из интернета идет через обратный прокси.
Атак не так часты, но хотелось бы от этого избавиться. Имя рабочей станции каждый раз меняется, точнее меняются только цифры.
Сталкивался кто-то с таким и как это можно победить?

 

[Hyper]

а сервер один почтовый ? Есть публикация ?

 

[pr0g]

а сервер один почтовый ? Есть публикация ?

Сервер один.
Что понимать под публикацией?
25 порт сервера проброшен в инет.
OWA включена и опубликована через обратный прокси.

 

[pr0g]

Забыл добавить на сервере, используются только протоколы MAPI over https и Activesync.

 

[Oleg75]

юзер пароль поменял ?

Status and Sub Status Codes	Description (not checked against "Failure Reason:")
0xC0000064	user name does not exist
0xC000006A	user name is correct but the password is wrong
0xC0000234	user is currently locked out
0xC0000072	account is currently disabled
0xC000006F	user tried to logon outside his day of week or time of day restrictions
0xC0000070	workstation restriction, or Authentication Policy Silo violation (look for event ID 4820 on domain controller)
0xC0000193	account expiration
0xC0000071	expired password
0xC0000133	clocks between DC and other computer too far out of sync
0xC0000224	user is required to change password at next logon
0xC0000225	evidently a bug in Windows and not a risk
0xc000015b	The user has not been granted the requested logon type (aka logon right) at this machine

 

[pr0g]

юзер пароль поменял ?

Status and Sub Status Codes	Description (not checked against "Failure Reason:")
0xC0000064	user name does not exist
0xC000006A	user name is correct but the password is wrong
0xC0000234	user is currently locked out
0xC0000072	account is currently disabled
0xC000006F	user tried to logon outside his day of week or time of day restrictions
0xC0000070	workstation restriction, or Authentication Policy Silo violation (look for event ID 4820 on domain controller)
0xC0000193	account expiration
0xC0000071	expired password
0xC0000133	clocks between DC and other computer too far out of sync
0xC0000224	user is required to change password at next logon
0xC0000225	evidently a bug in Windows and not a risk
0xc000015b	The user has not been granted the requested logon type (aka logon right) at this machine

Нет, не менял. Включил на UTM чтобы он отдавал реальный адрес клиента. IP-адрес из США Сиэтл.

Блокируются те учётки, чей почтовый адрес засветился в интернете.