可能重复:
如何检测网络上的垃圾邮件机器人?
我们的网络由 120 台 Windows 计算机组成,其中有 1 台或多台计算机发送垃圾邮件。有没有一种简单的方法可以找到该计算机,而无需逐台进行物理检查。
答案1
首先,阻止所有不需要 SMTP 流量的机器发出的传出流量。然后,您可以检查防火墙,看看是否有主机试图访问 SMTP 服务器。
或者,您可以在边界/边缘路由器上打开端口镜像,并在其上连接一台装有数据包嗅探器的 PC。使用 WireShark 捕获垃圾邮件发送者应该不难。
答案2
进行数据包捕获,或者在外围设备(防火墙或边界路由器)上设置某种日志过滤器。注意发往端口 25 的传出流量。找到流量的 IP 后,反向查找机器。这可能意味着查看交换机上的 CAM 表,找出哪个端口与 IP 所属的 MAC 地址相关联。
除非您有强烈的需要,否则我建议您简单地阻止除邮件服务器之外的所有系统对端口 25 的出站请求。