我们运行的是 Exchange 2010/Outlook 2013,今天我们的一些用户收到了一封电子邮件,附件中包含恶意软件。我们当前的反恶意软件产品没有检测到该恶意软件,但我通过在线多供应商扫描程序手动运行它发现了它。在我联系到所有用户之前,其中一位用户认为他可能打开了附件。
有没有确切的方法可以让我确定该用户是否打开了相关电子邮件附件?Outlook 或 Exchange 或操作系统中的某些东西(我们使用的是 Win10 Enterprise)是否提供了任何方法可以知道?我在网上搜索到的所有信息都是人们试图确定外部的用户已经打开了他们发送给他们的电子邮件附件(类似于已读回执),所以这对我没有用。
更新:我并不是在寻找只与此问题中的恶意软件部分相关的答案。例如,我并不是在寻找有关如何检测用户计算机上可能的恶意软件感染、如何重新格式化计算机等的建议。
答案1
据我所知,没有办法判断附件是否已被打开。也就是说,除非 邮箱审核日志 已被激活。
我建议用一种或多种成功检测出病毒的防病毒产品扫描该用户的计算机。如果未检测到病毒,那么您可以暂时断定没有感染。
如果有任何疑问,唯一可靠的解决办法就是重新格式化用户的计算机并重新安装所有内容,但这有点繁重。
答案2
我不确定这是否可行,但我认为您可以快速验证它。使用类似的计算机进行测试,并重现该场景。查看带有附件的电子邮件并查看邮件的扩展 MAPI 属性,然后打开附件并再次查看属性以查看是否有任何属性发生了相应更改。
您可以使用不同的邮件取证工具(例如,Kernel OST Viewer)查看扩展的 MAPI 属性。
我知道您专门询问了查看 Outlook/Exchange 的方法以回答您的问题,但我也会使用其他机制来检查附件是否曾保存到磁盘和/或被最终用户打开。如果您需要有关如何执行此操作的建议 - 请告诉我。