Проблема
Неожиданные пустые электронные письма посланы неизвестным источником с 12 января 2015.
Попытки решить проблему
WITT - report Helios pocitac
- прибытие из WittPC
WITT Lenka report
- прибытие от Martina ПК
WITT - Robert report
- прибытие из RobertPC
Однако заметьте дефис, отсутствующий в "WITT отчет Леньки". Также заметьте, что слово "отчет" посреди предмета в "WITT - сообщает Helios pocitac" тогда как в других двух предметах в конце.
Здесь я отправляю исходный код двух писем. Обратите внимание, что я изменил свой адрес электронной почты для my_email@gmail.com
и адрес электронной почты компании для company_mail@their_domain.com
. Компанию называют WITT и его связанным для именования в предмете.
Delivered-To: my_email@gmail.com
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
for <my_email@gmail.com>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
for <my_email@gmail.com>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <my_email@gmail.com>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
2-я электронная почта:
Delivered-To: my_email@gmail.com
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
for <my_email@gmail.com>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
for <my_email@gmail.com>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <my_email@gmail.com>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
Вопрос
Какой сервис или приложение посылают эти электронные письма или как отследить источник?
Отказ от ответственности 1: Конечно, в Windows уже есть хороший инструмент для аудита, чтобы справиться с чем-то подобным. К сожалению, в оконном окружении у меня нет опыта сисадмина, только обычный конечный пользователь.
Отказ от ответственности 2: Когда кто-то сталкивается с подобной проблемой (таинственная электронная почта или исходящий пакет), было бы неплохо отключить эту машину для дальнейшего анализа.
Случайно возникшую проблему можно отследить с помощью хорошей системы протоколирования. В этом случае необходимо настроить ведение журнала на вашем почтовом сервере и компьютере конечного пользователя. Компьютер Windows должен иметь запись в журнале о метке времени, PID и цели исходящего соединения. Сервер Debian должен вести журнал о метке времени при получении почты, а также о том, кто является отправителем и получателем почты. С помощью этих двух данных вы можете просмотреть, какой процесс отправил вам письмо. Вот почему синхронизация времени важна .
В прошлом вы использовали TCPview, чтобы получить картинку активности Windows. Плохой новостью является то, что TCPView не может вести журнал. Таким образом, вы должны заглянуть в окна TCPview, пока письмо не будет отправлено. Другая плохая новость - SMTP транзакции могут быть очень быстрыми, поэтому вероятность того, что ваши глаза перехватят SMTP событие, невелика.
Основываясь на этом ответе Суперпользователя , вы можете попробовать Process Monitor , чтобы помочь вам записать в журнал сетевое соединение и его PID. Программа должна быть открыта и запущена для записи журналов, но если вы настроите ее на сохранение журналов на диск в процессе записи, вы всегда сможете просмотреть их позже.
С помощью этих инструментов вы можете запустить и проверить журнал в конце дня. Нет необходимости постоянно наблюдать за экраном.