Я работаю в компании, в которой бывший сотрудник имел административный доступ к Microsoft Exchange 2007, и я понимаю, что в некоторые моменты у этого человека была электронная почта, которая была отправлена другим сотрудникам, также пересылаемая ему.
После того, как он взял на себя управление сервером, все его известные учетные записи, конечно, были закрыты, и все эти правила пересылки были удалены. Однако хочу убедиться, что мы ничего не пропустили.
Что было бы наилучшим способом гарантировать, что: (1) ему все еще не пересылается какое-то электронное письмо? (2) Что у него нет другого доступа к почтовому ящику или электронной почте другого сотрудника?
Меня меньше беспокоит доступ к самому ящику, потому что где-то есть существующее правило электронной почты, которое все еще работает, или что есть список рассылки, который мы пропустили, и т. Д.
Это связано с более общим вопросом "как я могу убедиться, что бывший администратор действительно заблокирован из системы, которой он больше не управляет? ". И на это нет простого ответа, поскольку, по определению, бывший администратор мог оставлял бэкдоры где угодно, если он хотел, и если у него были необходимые технические навыки для этого.
Даже проверить, что ему никуда не пересылаются электронные письма, непросто: если у вас есть правило пересылки, которое направляет сообщения на someaddress@somedomain.com, как вы можете точно знать, что этот адрес ему не принадлежит?
Здесь вам помогает то, что пересылка на стороне сервера в Exchange может иметь только объекты Active Directory в качестве получателей; вы не можете пересылать сообщения на какой-то случайный адрес электронной почты, вам нужно создать объект контакта в AD, чтобы удерживать его, а затем пересылать к контакту; так что вам нужно только проверить свои контакты.
Проблема в том, что если у вас только несколько из них в AD, вы можете уточнить у пользователей и убедиться, что правила пересылки - это только те, которые им действительно нужны; но если у вас их сотни, это может быть довольно сложно.