我的网络上有一台机器在发送垃圾邮件。Exchange 中的消息跟踪显示源 IP 是我的 Exchange 群集的 IP,而不是源工作站的 IP。发送消息时,用户的 PC 处于关闭状态,因此消息似乎来自不同的工作站、OWA 或移动设备。我检查了 OWA 日志,唯一与他的凭据相关的是他的 iPhone。
我现在想找到日志,这些日志会显示哪些设备(IP 地址)已通过 Outlook(MAPI)连接到 Exchange,但我似乎找不到这个日志文件。在发帖之前,我已经在 Google 上搜索过,也搜索过这个论坛,但只找到了有我同样问题的人 - 没有答案。
谢谢
答案1
Exchange 2007 中没有专门用于实现您所寻找的功能。邮箱审计日志在 Exchange 2010 中添加了此功能,以“增强”通过 MAPI 访问邮箱的审计功能。
就我的经验而言,客户通过 MAPI 提交垃圾邮件的情况非常少见。很多更可能的是,您已允许从 LAN 或 Internet 进行开放中继,并且邮件是通过 SMTP 进行中继的。还有一种可能是,这些邮件源自 Exchange Server 计算机本身。
我会设置 Exchange Server 计算机网络接口的端口镜像,并嗅探所有 SMTP 流量,直到记录下一些有问题的流量。我猜你会通过这样做找到消息的来源。
如果你确实拿到了其中一条有问题的消息,请查找类似以下内容的标题:
Received: from Your-Exchange-Server.domain.com ([1.1.1.1]) by
Your-Exchange-Server.domain.com ([1.1.1.1]) with mapi; Mon, 16 Jan 2012
14:47:40 -0500
在 Exchange 2007 环境中,使用 MAPI 提交的邮件将具有该标题。
答案2
正如 Evan 指出的那样,MAPI 提交的可能性比开放匿名中继 SMTP 要小。
如果您有多个接收连接器并且无法确定其来源,请使用MessageId标题中的在邮件跟踪日志中搜索与此邮件相关的所有事件。
使用Get-MessageTrackingLogsEMS 中的 cmdlet 或打开管理控制台,选择工具箱,然后选择消息跟踪查看器。清除“事件”复选框并输入 MessageId 进行搜索,看看是否会出现更多信息。
你也可以搜索垃圾邮件发送时间范围内明显被欺骗的用户发送的消息