我的组织正在使用 Google 的电子邮件服务来创建和管理他们的电子邮件帐户。最近,一封令人反感的电子邮件从一个 Gmail ID(可能是专门为此目的创建的虚假帐户)发送到我们组织的许多电子邮件地址。
我们能否追溯用于发送此电子邮件的机器的 IP(本地和公共)和 MAC 地址?我们怀疑此活动发生在组织内部。我确实可以访问我们的电子邮件服务器。
答案1
有可能,已收到标头显示客户端的 IP 地址。已接收标头添加在顶部,因此最顶部的是最新的。服务器位于公共网络上,因此它只能记录客户端的公共地址。但是,出于隐私原因,大多数 ISP 不再将客户端 IP 地址包含在已接收标头中。您也可以向 Google 询问其日志中的详细信息,但我不确定他们是否会提供。
MAC 地址从未包含在任何标头中,因此这不起作用。
如果邮件来自你的网络和如果您正确记录了连接详细信息,那么可能有机会查明来源。从相应的 Received 标头中提取准确的入口时间戳(最低=最早的提到 gmail 服务器的时间戳)。使用该时间戳,检查防火墙日志中是否有用户通过 SMTP 访问 gmail。如果用户使用 HTTPS 访问 gmail,则需要详细的日志,需要进行 SSL 检查。
如果您缺少上述任何一项,恐怕就无法找到来源。