Вопросы Теги

Получение пустых писем из трех других Windows ПК с 12 января 2015

Проблема

Неожиданные пустые электронные письма посланы неизвестным источником с 12 января 2015.

Попытки решить проблему

  • они - все от компании, где я делаю поддержку network/sys
  • они - все от машин Windows 7
  • всем машинам установили перспективу
  • электронные письма всегда имеют пустое тело
  • это не имеет никакого отношения к взаимодействию пользователя. Я называл их несколько раз правом, когда электронная почта прибыла, и они делали просто регулярный материал как просмотр и т.д. Иногда, я получаю эти письма, даже когда нет никого использующего ПК.
  • все три ПК начали отправлять эти письма 12-го января 2015
  • времена не связаны (иногда, я получаю почту даже в течение ночи),
  • Я получаю электронное письмо только, когда ПК работает. Например, RobertPC всегда включен, и я получаю электронные письма только от него в течение выходных (другие выключены),
  • существует некоторый шаблон в предметах электронных писем:

WITT - report Helios pocitac - прибытие из WittPC

WITT Lenka report - прибытие от Martina ПК

WITT - Robert report - прибытие из RobertPC

Однако заметьте дефис, отсутствующий в "WITT отчет Леньки". Также заметьте, что слово "отчет" посреди предмета в "WITT - сообщает Helios pocitac" тогда как в других двух предметах в конце.

Здесь я отправляю исходный код двух писем. Обратите внимание, что я изменил свой адрес электронной почты для my_email@gmail.com и адрес электронной почты компании для company_mail@their_domain.com. Компанию называют WITT и его связанным для именования в предмете.

Delivered-To: my_email@gmail.com
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
        Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
        by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
        for <my_email@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
    for <my_email@gmail.com>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <my_email@gmail.com>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

2-я электронная почта:

Delivered-To: my_email@gmail.com
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
        Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
        Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
        by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
        for <my_email@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
    for <my_email@gmail.com>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <my_email@gmail.com>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

Вопрос

Какой сервис или приложение посылают эти электронные письма или как отследить источник?

1
задан 13 May 2015 в 22:09
1 ответ

Отказ от ответственности 1: Конечно, в Windows уже есть хороший инструмент для аудита, чтобы справиться с чем-то подобным. К сожалению, в оконном окружении у меня нет опыта сисадмина, только обычный конечный пользователь.

Отказ от ответственности 2: Когда кто-то сталкивается с подобной проблемой (таинственная электронная почта или исходящий пакет), было бы неплохо отключить эту машину для дальнейшего анализа.

Случайно возникшую проблему можно отследить с помощью хорошей системы протоколирования. В этом случае необходимо настроить ведение журнала на вашем почтовом сервере и компьютере конечного пользователя. Компьютер Windows должен иметь запись в журнале о метке времени, PID и цели исходящего соединения. Сервер Debian должен вести журнал о метке времени при получении почты, а также о том, кто является отправителем и получателем почты. С помощью этих двух данных вы можете просмотреть, какой процесс отправил вам письмо. Вот почему синхронизация времени важна .

В прошлом вы использовали TCPview, чтобы получить картинку активности Windows. Плохой новостью является то, что TCPView не может вести журнал. Таким образом, вы должны заглянуть в окна TCPview, пока письмо не будет отправлено. Другая плохая новость - SMTP транзакции могут быть очень быстрыми, поэтому вероятность того, что ваши глаза перехватят SMTP событие, невелика.

Основываясь на этом ответе Суперпользователя , вы можете попробовать Process Monitor , чтобы помочь вам записать в журнал сетевое соединение и его PID. Программа должна быть открыта и запущена для записи журналов, но если вы настроите ее на сохранение журналов на диск в процессе записи, вы всегда сможете просмотреть их позже.

Process Monitor

С помощью этих инструментов вы можете запустить и проверить журнал в конце дня. Нет необходимости постоянно наблюдать за экраном.

0
ответ дан 4 December 2019 в 08:00

Теги

Похожие вопросы