作者yenting0107 (熊)
看板Network
标题[问答] 如何查区网内部哪台电脑发垃圾信出去?
时间Mon Aug 1 15:40:05 2011
大家好!
今天在公司接到一通中华电信来电警告
中华电信说,有其他公司举报我们公司一直发垃圾广告邮件过去
要我们自行清查并处理,若之後还有相关情形发生
会直接锁我们对外的 25 port!!
由於没有碰过相关的情形,想请问各位该从何着手清查呢?
基本环境--------------------------
MAILSERVER: Microsoft Exchange 5.5
PC_OS: Windows2000,WindowsXP,Linux
收发信工具: MicrosoftOutlook,Thunderbird
防毒软体: NOD32 (windows)
总电脑数: 约50台
对外IP固定: XXX.XXX.XXX.XXX
----------------------------------
有几个疑问
1. 若对方收到我们公司发出去的垃圾信,会有哪个帐户所发出去的DATA吗?
如:
[email protected] 有的话我就可以知道是John这使用者电脑有问题!
2. 这种发垃圾信的方式一定会透过公司内部的MailServer寄出去吗?
恳请各位帮忙了!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.130.49.94
1F:→ infosec:先查查你的mail relay是不是关了吧 08/01 16:55
2F:→ rain958:1.做Port Mirror 2.WireShark找出25 port就知道凶手了 08/01 21:07
3F:→ asukayi:1.这种情况通常是有其中一台(多台)电脑或Mail server被 08/07 10:54
4F:→ asukayi:当作广告信跳板,遭检举滥发spam是依据发信IP来源而非帐户 08/07 10:55
5F:→ asukayi:最好先将Microsoft Exchange更新到最新版并设定防止spam 08/07 10:59
6F:→ asukayi:再从DHCP server的log追查有异常纪录的IP,并确认spam行为 08/07 11:03
7F:→ asukayi:发生时间内该IP的网卡Mac Address,就能确认是哪台电脑 08/07 11:04