作者yenting0107 (熊)
看板Network
標題[問答] 如何查區網內部哪台電腦發垃圾信出去?
時間Mon Aug 1 15:40:05 2011
大家好!
今天在公司接到一通中華電信來電警告
中華電信說,有其他公司舉報我們公司一直發垃圾廣告郵件過去
要我們自行清查並處理,若之後還有相關情形發生
會直接鎖我們對外的 25 port!!
由於沒有碰過相關的情形,想請問各位該從何著手清查呢?
基本環境--------------------------
MAILSERVER: Microsoft Exchange 5.5
PC_OS: Windows2000,WindowsXP,Linux
收發信工具: MicrosoftOutlook,Thunderbird
防毒軟體: NOD32 (windows)
總電腦數: 約50台
對外IP固定: XXX.XXX.XXX.XXX
----------------------------------
有幾個疑問
1. 若對方收到我們公司發出去的垃圾信,會有哪個帳戶所發出去的DATA嗎?
如:
[email protected] 有的話我就可以知道是John這使用者電腦有問題!
2. 這種發垃圾信的方式一定會透過公司內部的MailServer寄出去嗎?
懇請各位幫忙了!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.130.49.94
1F:→ infosec:先查查你的mail relay是不是關了吧 08/01 16:55
2F:→ rain958:1.做Port Mirror 2.WireShark找出25 port就知道兇手了 08/01 21:07
3F:→ asukayi:1.這種情況通常是有其中一台(多台)電腦或Mail server被 08/07 10:54
4F:→ asukayi:當作廣告信跳板,遭檢舉濫發spam是依據發信IP來源而非帳戶 08/07 10:55
5F:→ asukayi:最好先將Microsoft Exchange更新到最新版並設定防止spam 08/07 10:59
6F:→ asukayi:再從DHCP server的log追查有異常紀錄的IP,並確認spam行為 08/07 11:03
7F:→ asukayi:發生時間內該IP的網卡Mac Address,就能確認是哪台電腦 08/07 11:04