Есть ли способ узнать IP-адрес исходного клиента, отправившего внутреннее электронное письмо?
В IIS я вижу подключенных клиентов, но вы не можете видеть, какие клиенты отправляют электронную почту.
В журналах отслеживания сообщений / транспортных журналах я могу найти электронную почту, но в зависимости от настройки я вижу только IP-адрес сервера Exchange или балансировщика нагрузки ARR (как ни странно ???) в «Исходном IP-адресе клиента. "поле.
Кто-нибудь знает другой вариант? Я посмотрел, но ничего не нашел, хотя Mailbox Audit Logging выглядит многообещающим.
Я бы рекомендовал использовать следующие
Get-TransportService | ForEach-Object {Get-MessageTrackingLog -Server $_.Name -MessageSubject "Your Email subject" -Start (Get-Date).AddDays(-1) -EventId Submit } | Select-Object -Property Sender,OriginalClientIp
Это должно запросить все серверы Exchange и вернуть исходную отправку исходного сообщения электронной почты и IP-адрес, с которого оно было отправлено.
Теперь, если серверы ARR проксируют соединение с серверами Exchange от внутренних клиентов, это объясняет, почему вы видите IP-адрес прокси-серверов как - для Exchange - соединение, похоже, исходит от прокси-серверов.
Ведение журнала аудита почтового ящика звучит многообещающе - если аудит был включен в почтовом ящике до отправки электронного письма - и только если электронное письмо было отправлено с использованием разрешений «SendAs» или «SendOnBehalfOf», поскольку просто отправка электронного письма (т. е. владелец создает элемент сообщения) не проверяемое действие.