none
請問如何能查出真正的ip RRS feed

  • 問題

  • 大家好,

    目前公司使用的系統是sbs2003,因為最近公司電腦常常亂發廣告信,(我已關掉了轉寄功能)

    我從伺服器中的佇列中發現全部廣告信均是以"postmaster@公司網域" 的名義寄出,

    請問有什麼辦法可查出這些email的真正發信者的ip(也許也有可能是公司其他電腦中毒或伺服器中毒所致)

    或是否有其他防毒軟體可預防這種狀況?

    目前我的作法是先將佇列中的"停止輸出郵件"先作動,過濾後,再啟用輸出郵件,請問是否有根治的辦法

    謝謝

    2007年2月26日 上午 07:17

解答

  • 建議由收到的郵件來查詢,檢視收到郵件的檔頭後,開始反追蹤。

    例如這是一封永豐信用卡郵件的檔頭:


    Received: from msr21.hinet.net (msr21.hinet.net [168.95.4.121])
     by ms5.hinet.net (8.8.8/8.8.8) with ESMTP id UAA25805
     for <xxxx@ms5.hinet.net>; Fri, 2 Mar 2007 20:44:30 +0800 (CST)
    Received: from mh3prd.sinocard.com.tw (mh3prd.sinocard.com.tw [60.248.29.252])
     by msr21.hinet.net (8.9.3/8.9.3) with SMTP id UAA01252
     for <xxxx@ms5.hinet.net>; Fri, 2 Mar 2007 20:44:29 +0800 (CST)
    Message-Id: <200703021244.UAA01252@msr21.hinet.net>
    Date: Fri, 02 Mar 2007 19:21:42 +0800
    Reply-To: =?big5?B?pcPC16vIqkE=?= <e-service@sinopac.com>
    From: =?big5?B?pcPC16Fdreymd6tIoV6rSKXOpWS5caRss/g=?= <enews@mh3prd.sinocard.com.tw>
    To: =?big5?B?IL5HpGzmo6FAoUA=?= <xxxx@ms5.hinet.net>
    MIME-Version: 1.0
    Subject: =?big5?B?OTamfjAzpOswMqTpp9qquqXDs/iyxDE0tME=?=
    Content-Type: multipart/alternative;
     boundary="----=_NextPart_000_BBAAF_01C75D00.02502B20"
    Thread-Index: MTA4OF8yMzQ1XzI3OTYxNDM=
    Content-Class: urn:content-classes:message
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1896
    Content-Length: 40660
    Status:  

    資訊是由上方加起,每經過一台主機,就會變成

    主機資訊 + 原資訊

    所以從上方反查,看到哪台是你們單位的主機,追到最後一台後,依照時間去清查該台主機當時的 log 資訊。

    注意原資訊有可能是偽造或是經過多台主機,所以只要追蹤到屬於你單位的最後一台即可。

    以這封信來說,從

    mh3prd.sinocard.com.tw [60.248.29.252] 經 msr21.hinet.net [168.95.4.121] 到我的信箱。

    2007年3月4日 下午 02:00