У меня есть машина, рассылающая спам в моей сети. При отслеживании сообщений в Exchange исходный IP-адрес отображается как IP-адрес моего кластера Exchange, а не исходной рабочей станции. Компьютер пользователя был выключен в то время, когда были отправлены сообщения, поэтому похоже, что он пришел с другой рабочей станции, OWA или мобильного устройства. Я проверил журналы OWA, и единственное, что могло подключиться к его учетным данным, - это его iPhone.
Теперь я хочу найти журналы, которые покажут мне, какие устройства (IP-адрес) подключены к Exchange через Outlook (MAPI), но я не могу найти этот файл журнала. Я погуглил, а также искал на этом форуме перед публикацией и нашел только других с тем же вопросом - нет ответа.
Спасибо
В Exchange 2007 нет возможности делать именно то, что вы ищете. Ведение журнала аудита почтового ящика был добавлен в Exchange 2010 для «усиления» возможностей аудита доступа к почтовым ящикам через MAPI.
По моему опыту, было бы уникальным, если бы клиент отправлял спам через MAPI. Это много более вероятно, что вы разрешили открытую ретрансляцию из вашей локальной сети или из Интернета, а сообщения ретранслируются через SMTP. Также возможно, что они исходят от самого компьютера Exchange Server.
Я бы установил порт-зеркало сетевого интерфейса компьютера с Exchange Server и прослушивал весь SMTP-трафик, пока не был записан некорректный трафик. Я подозреваю, что вы найдете источник сообщений.
Если вы действительно можете получить одно из оскорбительных сообщений, поищите заголовок, подобный следующему:
Received: from Your-Exchange-Server.domain.com ([1.1.1.1]) by
Your-Exchange-Server.domain.com ([1.1.1.1]) with mapi; Mon, 16 Jan 2012
14:47:40 -0500
Сообщения, отправленные с помощью MAPI, будут иметь этот заголовок в среде Exchange 2007.
Как указывает Эван, вероятность отправки MAPI ниже, чем, скажем, открытого анонимного ретранслируемого SMTP.
Если у вас несколько разъемов приема и вы не можете определить, откуда они пришли, используйте MessageId в заголовке для поиска всех событий, относящихся к этому сообщению, в журналах отслеживания сообщений.
Либо используйте Get-MessageTrackingLogs командлет из EMS или откройте Консоль управления, выберите Панель инструментов, а затем Средство просмотра отслеживания сообщений. Снимите флажок "события" и вставьте значение в MessageId, чтобы найти и посмотреть, появится ли дополнительная информация.
Вы также можете просто искать сообщения, отправленные явно подделанным пользователем, за период времени, когда был отправлен СПАМ.