Итак, вот ситуация. Вчера с компьютера в нашей организации было отправлено электронное письмо, и впоследствии мы были отмечены как спам из-за этого. Мы не знаем, кто его прислал. Мы не знаем, когда оно было отправлено (но знаем примерное время), и поэтому у нас нет копии электронного письма. И мы не знаем, как это отследить.
Я программист, поэтому ЭТО не моя область, но программист во мне кричит, что должен быть способ проследить это до источника. Мы работаем на MS Exchange.
Можно ли отследить это электронное письмо до отправителя? И как это сделать ?!
Без копии электронного письма с исходными заголовками отследить это будет практически невозможно. Если бы у вас были заголовки, вы могли бы увидеть заголовки «Получено» и довольно быстро вернуться к исходной точке. Без обычной информации лучше всего посмотреть в журналах Exchange Server за указанное приблизительное время, чтобы узнать, кто отправлял почту. Если у вас есть какой-то журнал аудита сообщений, вы можете посмотреть там, не пришли ли какие-либо «спамовые» сообщения от конкретного пользователя.
Откуда вы вообще знаете, что это сообщение пришло через ваш сервер обмена? Если на рабочей станции было установлено вредоносное ПО и вы не блокируете исходящий SMTP, то вредоносное ПО может устанавливать SMTP-соединения напрямую, не касаясь вашего сервера Exchange. У вас также может быть неправильно настроенный прокси или что-то еще, что используется в качестве ретранслятора.
На мой взгляд, исходящий SMTP должен быть заблокирован по периметру от всего, кроме ваших почтовых серверов. Если вы еще не заблокировали SMTP и не настроили ведение журнала, вы действительно ничего не сможете доказать. Любой компьютер в сети мог установить SMTP-соединение с сервером.
Если вы действительно беспокоитесь о том, что это повторится снова, вы также можете настроить ведение журнала на своем устройстве периметра, чтобы регистрировать хотя бы первый пакет любого обмена данными через порт 25.
Электронную почту так легко подделать. Также вполне возможно, что вы были заблокированы как спам и сообщение пришло вовсе не из вашей сети. Возможно, какой-то наивный системный администратор предположил, что некоторые из заголовков SMTP действительны, хотя на самом деле они были подделаны.
Поскольку вы знаете, когда оно было отправлено, возможно, вы сможете найти некоторую информацию в журнале отслеживания сообщений. Также было бы полезно знать, на какой домен оно было отправлено.
Вы можете найти местоположение журнала в настройках вашего сервера Exchange.
Для Exchange 2007 перейдите в раздел «Конфигурация сервера» и выберите «Свойства» на своем сервере Exchange. Затем проверьте вкладку «Параметры журнала» и посмотрите, включен ли журнал отслеживания сообщений. Если это так, вы узнаете, где он хранится.
Для Exchange 2003 вы также получаете Свойства на своем сервере Exchange, но на этот раз они должны находиться на вкладке «Общие».
Как только вы найдете журналы, вы сможете открыть журнал за предполагаемое время и посмотреть, какая активность была на вашем сервере в то время.
Вы можете написать сценарий для проверки каждой папки отправки элементов для каждого почтового ящика взамен ...
Вы могли бы использовать CDOEX который это COM-интерфейс для обмена.
CDOEX используется в приложениях, которые используют обмен сообщениями для отправки и обработки электронной почты, календаря и контактной информации, а также для предоставления программного доступа к почтовому ящику и общим папкам. Обратите внимание, что CDOEX можно запустить только с компьютера, на котором установлен Exchange.
Используя сценарий VB, системный администратор может проверить все эти папки.
Но программист из вас может предпочесть C #, поэтому вы можете использовать интерфейс OLE DB. ExOLEDB обменять. У Microsoft даже есть пример который использует ADO.
Приложения, использующие ExOLEDB, обычно получают доступ к информации из хранилища Exchange с помощью запросов SQL. ExOLEDB можно использовать для получения и управления всеми типами данных в хранилище Exchange, к которым у пользователя есть разрешение на доступ. ExOLEDB также обеспечивает возможность полнотекстового поиска по элементам в магазине Exchange.
Так что вариантов хватит.
Зная приблизительное время и точное место назначения почты, вы можете фильтровать журналы Exchange на предмет потенциальных подозреваемых. Если вы сможете его найти, это зависит от объема трафика, который проходит через эту биржу.