有没有办法找到发送内部电子邮件的原始客户端的 IP?
在 IIS 中,我可以看到已连接的客户端,但看不到哪些客户端发送电子邮件。
在消息跟踪日志/传输日志中,我可以找到电子邮件,但根据设置,我在“原始客户端 IP”字段中只能看到 Exchange 服务器或 ARR 负载平衡器的 IP 地址(很奇怪吗?)。
有人知道其他选择吗?我已经查看过了,但什么也没发现,尽管邮箱审计日志看起来很有希望。
答案1
我建议使用以下
Get-TransportService | ForEach-Object {Get-MessageTrackingLog -Server $_.Name -MessageSubject "Your Email subject" -Start (Get-Date).AddDays(-1) -EventId Submit } | Select-Object -Property Sender,OriginalClientIp
这应该查询所有 Exchange 服务器并返回原始电子邮件消息的原始提交以及提交时的 IP 地址。
现在,如果 ARR 服务器代理从内部客户端到 Exchange 服务器的连接,那么这将解释为什么您会看到代理服务器的 IP - 对于 Exchange - 该连接似乎源自代理服务器。
邮箱审计日志听起来很有希望——如果在发送电子邮件之前在邮箱上启用了审计——并且仅有的如果电子邮件是通过利用“SendAs”或“SendOnBehalfOf”权限发送的,因为只需发送电子邮件(即创建邮件项目的所有者)即可不是可审计的行为。