Мы запускаем Exchange 2010 / Outlook 2013, и сегодня ряд наших пользователей получили электронное письмо с вложением, содержащим вредоносное ПО. Наш текущий антивирусный продукт не обнаружил вредоносное ПО, но я узнал об этом вручную, запустив его через онлайн-сканер от нескольких поставщиков. Прежде чем я смог связаться со всеми своими пользователями, один из них подумал, что он мог открыть вложение.
Есть ли какой-нибудь точный способ узнать, открыл ли этот пользователь указанное вложение электронной почты? Предоставляет ли Outlook, Exchange или что-то еще в ОС (мы на Win10 Enterprise) какой-либо способ узнать? Все мои поиски в Интернете были людьми, пытающимися определить, внешний пользователи открывали вложения электронной почты, которые они им отправили (что-то вроде уведомления о прочтении), так что это было бесполезно для меня.
ОБНОВЛЕНИЕ: я не ищу ответов, относящихся только к вредоносной части этой проблемы. Например, я не ищу советов, как обнаружить возможное заражение вредоносным ПО на компьютере пользователя, как переформатировать компьютер и т. Д.
Я не уверен, что это возможно, но думаю, вы можете быстро это проверить. Используйте аналогичный компьютер для тестирования и воспроизведите сценарий. Просмотрите электронное письмо с вложением и просмотрите расширенные свойства MAPI сообщения, затем откройте вложение и еще раз просмотрите свойства, чтобы увидеть, изменилось ли какое-либо свойство соответствующим образом.
Вы можете просматривать расширенные свойства MAPI с помощью различных инструментов для анализа почты (например, Kernel OST Viewer).
Я знаю, что вы специально спрашивали, как просмотреть Outlook / Exchange, чтобы ответить на ваш вопрос, но я бы также использовал другие механизмы, чтобы проверить, сохранялось ли вложение на диск и / или открывалось ли оно конечным пользователем. Если вам нужны рекомендации, как это сделать - дайте мне знать.
Насколько мне известно, невозможно определить, было ли открыто вложение. То есть, если только Ведение журнала аудита почтового ящика был активирован.
Я бы посоветовал просканировать компьютер этого пользователя одним или несколькими антивирусными продуктами, которые успешно обнаружили вирус. Если вирус не обнаружен, то можно предположительно сделать вывод, что инфекции нет.
Если у вас есть сомнения, единственное верное решение - переформатировать компьютер пользователя и переустановить все, но это немного тяжеловато.
Для получения дополнительной информации см .:
Как удалить со своего компьютера вредоносное шпионское ПО, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты?.