自 2015 年 1 月 12 日以來從三台不同的 Windows PC 接收空郵件
問題
自 2015 年 1 月 12 日以來,未知來源發送了意外的空電子郵件。
嘗試解決問題
- 他們都來自我做網路/系統支持的公司
- 它們都來自 Windows 7 機器
- 所有機器都安裝了outlook
- 電子郵件的正文總是空的
- 它與使用者的互動無關。當電子郵件到達時,我給他們打了好幾次電話,他們只是做一些正常的事情,比如瀏覽等。有時即使沒有人使用 PC,我也會收到這些郵件。
- 三台 PC 於 2015 年 1 月 12 日開始發送這些郵件
- 時間無關(有時我甚至在晚上也收到郵件)
- 我只有在電腦開機時才會收到電子郵件。例如,RobertPC 始終處於開啟狀態,而我只在周末收到來自它的電子郵件(其他人處於關閉狀態)
- 電子郵件的主題有一些模式:
WITT - report Helios pocitac
- 來自 WittPC
WITT Lenka report
- 來自 Martina PC
WITT - Robert report
- 來自 RobertPC但是請注意“WITT Lenka 報告”中缺少連字元。另請注意,“報告”一詞位於“WITT - report Helios pocitac”的主題中間,而在其他兩個主題中則位於末尾。
在這裡,我發布了兩封郵件的原始碼。請注意,我更改了我的電子郵件地址
my_email@gmail.com
和公司的電子郵件地址company_mail@their_domain.com
。公司名稱為WITT,與主題名稱相關。Delivered-To: my_email@gmail.com Received: by 10.114.12.67 with SMTP id w3csp5070519ldb; Mon, 2 Mar 2015 01:54:37 -0800 (PST) X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184; Mon, 02 Mar 2015 01:54:35 -0800 (PST) Return-Path: <company_mail@their_domain.com> Received: from ub.wcontact.cz ([217.11.236.196]) by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34 for <my_email@gmail.com> (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 02 Mar 2015 01:54:35 -0800 (PST) Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196; Authentication-Results: mx.google.com; spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136]) by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497 for <my_email@gmail.com>; Mon, 2 Mar 2015 13:00:50 +0100 Thread-Topic: WITT Lenka report thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw== From: <company_mail@their_domain.com> To: <my_email@gmail.com> Subject: WITT Lenka report Date: Mon, 2 Mar 2015 10:54:31 +0100 Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina> MIME-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 7bit X-Mailer: Microsoft CDO for Windows 2000 Content-Class: urn:content-classes:message Importance: normal Priority: normal X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
第二封郵件:
Delivered-To: my_email@gmail.com Received: by 10.114.12.67 with SMTP id w3csp5079020ldb; Mon, 2 Mar 2015 02:13:46 -0800 (PST) X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321; Mon, 02 Mar 2015 02:13:46 -0800 (PST) Return-Path: <company_mail@their_domain.com> Received: from ub.wcontact.cz ([217.11.236.202]) by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44 for <my_email@gmail.com> (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 02 Mar 2015 02:13:45 -0800 (PST) Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202; Authentication-Results: mx.google.com; spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136]) by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892 for <my_email@gmail.com>; Mon, 2 Mar 2015 13:20:02 +0100 Thread-Topic: WITT - Robert report thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ== From: <company_mail@their_domain.com> To: <my_email@gmail.com> Subject: WITT - Robert report Date: Mon, 2 Mar 2015 11:13:47 +0100 Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC> MIME-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 7bit X-Mailer: Microsoft CDO for Windows 2000 Content-Class: urn:content-classes:message Importance: normal Priority: normal X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
問題
什麼服務或應用程序正在發送這些電子郵件或如何跟踪來源?
免責聲明 1:當然 Windows 已經有很好的審計工具來處理這樣的事情。不幸的是,在 Windows 環境中,我沒有系統管理員的經驗,只有普通的最終使用者。
免責聲明 2:當有人遇到類似的問題(神秘電子郵件或外發數據包)時,最好斷開此機器以進行進一步分析。
可以使用良好的日誌記錄系統跟踪隨機發生的問題。在這種情況下,您需要在您的郵件伺服器和最終使用者 PC 中設置日誌記錄。Windows PC 必須有關於時間戳、PID 和傳出連接目標的日誌條目。Debian 伺服器應該記錄收到電子郵件時的時間戳以及電子郵件的發件人和收件人。通過這兩個資訊,您可以查看向您發送電子郵件的程序。這就是時間同步很重要的原因。
過去,您使用 TCPview 來獲取 Windows 活動的圖片。壞消息是 TCPView 不能做日誌記錄。因此,在發送電子郵件之前,您必須查看 TCPview 視窗。另一個壞消息是 SMTP 事務可以非常快,因此您的眼睛幾乎不可能捕捉到 SMTP 事件。
根據這個超級使用者的回答,您可以嘗試使用Process Monitor來幫助您記錄網路連接及其 PID。該程序需要打開並執行才能記錄日誌,但如果您將其設置為在記錄日誌時將日誌保存到磁碟,您以後可以隨時查看它們。
使用此工具,您可以在一天結束時執行並檢查日誌。無需再次連續觀看螢幕。