none
Как обнаружить клиентскую машину которая формирует спам и отдает их для отправки на Hub-сервер? RRS feed

  • Общие обсуждения

  • Добрый день! Сразу скажу, что у меня низкий уровень знаний по Exchange, прошу быть снисходительными к моим вопросам и суждениям :)

    Система у меня из 2 серверов - один Edge, второй - Hub, оба на Win2k3

    Я обнаружил в очереди на Edge письма, с явным спам-содержимым:

     

    Идентификатор: <edge-name>\184915\208827

    Тема: Продам участки по 12 соток Срочно

    Идентификатор сообщения Интернета: <160998437.16693353161553@adship.ru>

    С адреса: transitiont2@adship.ru

    Состояние: Повторить

    Размер (КБ): 3

    Имя источника сообщений: SMTP:Default internal receive connector <edge-name>

    IP-адрес источника: <hub-name-ip>

    Вероятность нежелательной почты: 2

    Дата получения: 05.08.2010 14:04:06

    Срок действия: 07.08.2010 14:04:06

    Последняя ошибка: 450 4.5.0 No recipient succeeded

    Идентификатор очереди: <edge-name>\184915

    Получатели:  roman@spectec.ru

     

    Так как видно, что письмо приехало на edge от hub-сервера, то я через отслеживание сообщений на hub-сервере стал искать письма с идентификатором <160998437.16693353161553@adship.ru>. Записи с таким идентификатором были найдены, но в них не было указано от какого пользователя или с какого ip-адреса рабочей станции на hub-сервер попало это письмо. Вернее в записях были ip-адреса самого hub-сервера (поле ClientIp) и адрес отправителя был transitiont2@adship.ru - явно чужой и поддельный.

    Я предполагаю, что на какой-то машине внутри моей сети сидит бот и используя учетные данные одного из доменных пользователей шлет спам на hub-сервер, а тот передает его на edge. Я хотел бы спросить у знающих людей - возможно ли как-то через журналы hub-сервера выявить логин злодея или узнать адрес злодейской машины внутри моей сети?

    • Изменен тип Yuriy Lenchenkov 30 декабря 2010 г. 14:12 пользователь покинул тему
    • Перемещено Hengzhe Li 12 марта 2012 г. 6:39 forum merge (От:Exchange Server 2007)
    5 августа 2010 г. 17:20

Все ответы

  • Добрый день,

    а Message Tracking что говорит? ip адрес через Exchange вы не сможете узнать, к сожалению, а имя пользователя у вас должно быть видно. Посмотрите записи, что отправлялось в подозрительный промежуток времени. Так же было бы неплохо проверить сеть в целом на предмет наличия вирусов.



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    9 августа 2010 г. 15:08
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    16 августа 2010 г. 10:18
    Модератор