情况是这样的。昨天,我们组织内的一台计算机发送了一封电子邮件,随后我们因此被标记为垃圾邮件。我们不知道是谁发送的。我们不知道它何时发送(但知道大概时间),因此没有这封电子邮件的副本。我们也不知道如何追溯它。
我是一名程序员,所以 IT 不是我的领域,但我内心的程序员精神告诉我,一定有办法追溯到源头。我们在 MS Exchange 上运行。
是否有可能追踪到这封电子邮件的发件人?我们该怎么做?!
答案1
如果没有包含原始邮件头的电子邮件副本,则几乎不可能追踪到此情况。如果您有邮件头,则可以看到“已接收”邮件头,并很快跟踪到源头。如果没有常规信息,最好的办法是查看 Exchange Server 日志中有关该时间的大致信息,以查看是谁发送了邮件。如果您有某种邮件审核日志,则可以查看其中是否有来自特定用户的“垃圾邮件”。
答案2
您怎么知道这条消息是通过 Exchange 服务器发送的?如果工作站上安装了恶意软件,而您没有阻止出站 SMTP,那么恶意软件可能会直接建立 SMTP 连接,而不会接触您的 Exchange 服务器。您还可能有一个配置错误的代理或其他东西被用作中继。
我认为,应该在外围阻止除邮件服务器之外的所有设备的传出 SMTP。如果您尚未阻止 SMTP 并且没有设置任何日志记录,那么您实际上无法证明任何事情。网络中的任何计算机都可能与服务器建立 SMTP 连接。
如果您真的担心这种情况再次发生,那么您也可以在外围设备上设置日志记录,以记录任何端口 25 通信的至少第一个数据包。
电子邮件很容易伪造。您也完全有可能被当作垃圾邮件阻止,而该邮件根本不是来自您的网络。也许一些天真的系统管理员认为某些 SMTP 标头是有效的,但实际上它们是伪造的。
答案3
由于您知道邮件发送时间,因此您可能能够在邮件跟踪日志中找到一些信息。了解邮件发送到哪个域也会很有帮助。
您可以在 Exchange 服务器设置中找到日志的位置。
对于 Exchange 2007,请查看“服务器配置”并获取 Exchange 服务器上的“属性”。然后检查“日志设置”选项卡,查看是否启用了邮件跟踪日志。如果启用了,这将告诉您日志存储在哪里。
对于 Exchange 2003,您还可以在 Exchange 服务器上获得属性,但这次它应该位于“常规”选项卡下。
一旦找到日志,您应该能够打开您怀疑的时间的日志并查看当时服务器上的活动。
答案4
知道邮件的大致时间和确切目的地后,您就可以过滤 Exchange 日志以查找潜在嫌疑人。您是否能找到他取决于通过该 Exchange 的流量。