Назад | Перейти на главную страницу

Получение пустых писем с трех разных ПК с Windows с 12 января 2015 г.

Проблема

Неожиданные пустые электронные письма отправляются из неизвестного источника с 12 января 2015 года.

Попытки решить проблему

WITT - report Helios pocitac - поступает от WittPC

WITT Lenka report - поступает с компьютера Martina

WITT - Robert report - исходящий от RobertPC

Однако обратите внимание на дефис в "отчете WITT Lenka". Также обратите внимание, что слово «report» находится в середине темы в «WITT - report Helios pocitac», тогда как в двух других темах оно находится в конце.

Здесь я выкладываю исходный код двух писем. Обратите внимание, что я изменил свой адрес электронной почты на my_email@gmail.com и адрес электронной почты компании для company_mail@their_domain.com. Компания называется WITT и связана с названием в теме.

Delivered-To: my_email@gmail.com
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
        Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
        by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
        for <my_email@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
    for <my_email@gmail.com>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <my_email@gmail.com>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

2-е электронное письмо:

Delivered-To: my_email@gmail.com
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
        Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
        Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
        by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
        for <my_email@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
    for <my_email@gmail.com>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <my_email@gmail.com>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

Вопрос

Какая служба или приложение отправляет эти электронные письма или как отследить источник?

Заявление об отказе от ответственности 1. Конечно, в Windows уже есть хороший инструмент аудита для решения подобных проблем. К сожалению, в среде Windows у меня нет опыта системного администратора, только обычный конечный пользователь.

Отказ от ответственности 2: Когда кто-то сталкивается с подобной проблемой, подобной этой (таинственное электронное письмо или исходящий пакет), было бы неплохо отключить этот компьютер для дальнейшего анализа.

Случайно возникшую проблему можно отследить с помощью хорошей системы регистрации. В этом случае вам необходимо настроить ведение журнала на почтовом сервере и на компьютере конечного пользователя. ПК с Windows должен иметь запись в журнале о метке времени, PID и цели исходящего соединения. Сервер Debian должен вести журнал с отметкой времени получения электронной почты, а также с указанием отправителя и получателя письма. С помощью этих двух данных вы можете увидеть, какой процесс отправил вам электронное письмо. Поэтому синхронизация времени важна.

В прошлом, вы использовали TCPview, чтобы получить представление об активности Windows. Плохая новость - TCPView не может вести журнал. Итак, вам нужно заглядывать в окна TCPview, пока письмо не будет отправлено. Другая плохая новость заключается в том, что транзакция SMTP может быть очень быстрой, поэтому вероятность того, что ваши глаза уловят событие SMTP, мала.

На основе этот ответ суперпользователя, можешь попробовать Монитор процесса чтобы помочь вам зарегистрировать сетевое соединение и его PID. Программа должна быть открыта и запущена, чтобы она могла записывать журналы, но если вы настроите ее для сохранения журналов на диск по мере их записи, вы всегда можете просмотреть их позже.

С помощью этих инструментов вы можете запускать и проверять журнал в конце дня. Больше не нужно постоянно смотреть на экран.