我们的网络上有一个 SMTP 中继(只是一个带有 SMTP 的 XP 盒子)。它一直存在是因为一些旧版应用程序曾经使用它来通过代码发送电子邮件。
它几乎没有任何流量,我可以从 SMTP 日志中看到它每隔几天才使用一次,如果有的话。
在我关闭它之前,我想跟踪电子邮件的来源(我可以看到原始服务器,但我希望能够看到 SMTP 标头以获取发件人、收件人以及(如果可能的话)正文。)
我该如何长期做到这一点?我考虑过使用 wireshark,但打算让它运行几个星期。这可行吗?或者有更好的解决方案吗?
答案1
我不知道 wireshark + windows,但使用 linux + tcpdump(据我所知几乎相当),我可以毫无问题地捕获几天的流量,前提是:
- 足够的磁盘空间
- 交通不太繁忙
- 指定端口(25)是为了确保捕获量不会太大。
答案2
我知道您说不要 wireshark,但我认为您应该使用。只需将捕获过滤器添加到您知道电子邮件来自的特定地址即可。您还可以尝试捕获 X 个字节以尝试获取标头。检查 -捕获过滤器