У меня есть Windows Exchange Server 2007, который, кажется, отправляет почту, когда я подтверждаю, что в сети никого нет. Я пытаюсь определить, скомпрометирован ли сервер обмена или клиент в сети рассылает спам, который в конечном итоге отправляется на сервер обмена.
Я использую wirehark и настроил smtp and ip.src==mail.server.ip в фильтре и может видеть SMTP-отправку на внешние IP-адреса с сервера Exchange, когда никого нет в офисе.
Похоже, программа электронной почты Outlook 2010, установленная на клиентах, использует другой протокол для передачи электронной почты от клиента на сервер Exchange (DCERPC).
Это затрудняет точное определение того, где происходит спам. Может ли кто-нибудь пролить свет на дополнительные фильтры или процесс определения источника спама?