服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从2015年1月12日起收到来自三台不同Windows PC的空邮件
Intereting Posts
Nginx没有caching数据 NTFS共享:允许文件读取,拒绝列表文件夹 持续的顺序写入导致性能严重下降 如何找出在服务器上安装了什么 什么数据库服务器将受益于4个CPU 对于IPv6,我们应该为通过HTTP(S)提供的每个主机名分配不同的IP地址吗? 从C#打印使用太多的句柄 如何解决对Tomcat webapp拒绝的请求资源的访问? repcached破同步 – memcached高可用性 exim实例像function 为什么Exchange 2010 R1中带有0个SCL分数的邮件最终在垃圾邮件文件夹中? Debian的Apache Deflate国防部不工作 有些IPv6主机将所有stream量(即使在同一子网中)都发送到路由器 后缀和发送邮件的主机名 为什么我的舵机每5分钟重新启动一次?

从2015年1月12日起收到来自三台不同Windows PC的空邮件

问题

意外的空电子邮件自2015年1月12日起由未知来源发送。

试图解决这个问题

  • 他们都来自我做networking/系统支持的公司
  • 他们都是从Windows 7机器
  • 所有机器都安装了Outlook
  • 电子邮件总是空的身体
  • 它与用户的交互无关。 当电子邮件到达时,我给他们打了几次电话,他们只是像浏览等常规的东西。有时候,即使没有人使用电脑,我也会收到这些电子邮件。
  • 所有三台PC都在2015年1月12日开始发送这些邮件
  • 时间是不相关的(有时我甚至在晚上收到邮件)
  • 我只在电脑开机时收到电子邮件。 例如,RobertPC总是打开,我只在周末收到电子邮件(其他人被closures)
  • 邮件主题有一些模式:

WITT - report Helios pocitac – 来自WittPC

WITT Lenka report – 来自Martina PC

WITT - Robert report – 来自RobertPC

但请注意“WITT Lenka报告”中缺less的连字符。 还要注意“报告”这个词在“WITT – 报告Helios pocitac”的主题中,而在其他两个主题的结尾。

在这里,我发布了两封邮件的源代码。 请注意,我将[email protected]的电子邮件地址和company_mail@their_domain.com公司电子邮件地址更改了。 公司被称为WITT及其相关的主题名称。 

 Delivered-To: [email protected] Received: by 10.114.12.67 with SMTP id w3csp5070519ldb; Mon, 2 Mar 2015 01:54:37 -0800 (PST) X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184; Mon, 02 Mar 2015 01:54:35 -0800 (PST) Return-Path: <company_mail@their_domain.com> Received: from ub.wcontact.cz ([217.11.236.196]) by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34 for <[email protected]> (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 02 Mar 2015 01:54:35 -0800 (PST) Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196; Authentication-Results: mx.google.com; spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136]) by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497 for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100 Thread-Topic: WITT Lenka report thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw== From: <company_mail@their_domain.com> To: <[email protected]> Subject: WITT Lenka report Date: Mon, 2 Mar 2015 10:54:31 +0100 Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina> MIME-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 7bit X-Mailer: Microsoft CDO for Windows 2000 Content-Class: urn:content-classes:message Importance: normal Priority: normal X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

第二封电邮: 

 Delivered-To: [email protected] Received: by 10.114.12.67 with SMTP id w3csp5079020ldb; Mon, 2 Mar 2015 02:13:46 -0800 (PST) X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321; Mon, 02 Mar 2015 02:13:46 -0800 (PST) Return-Path: <company_mail@their_domain.com> Received: from ub.wcontact.cz ([217.11.236.202]) by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44 for <[email protected]> (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 02 Mar 2015 02:13:45 -0800 (PST) Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202; Authentication-Results: mx.google.com; spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136]) by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892 for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100 Thread-Topic: WITT - Robert report thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ== From: <company_mail@their_domain.com> To: <[email protected]> Subject: WITT - Robert report Date: Mon, 2 Mar 2015 11:13:47 +0100 Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC> MIME-Version: 1.0 Content-Type: text/plain Content-Transfer-Encoding: 7bit X-Mailer: Microsoft CDO for Windows 2000 Content-Class: urn:content-classes:message Importance: normal Priority: normal X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

什么服务或应用程序正在发送这些电子邮件或如何跟踪来源?

免责声明1:当然Windows已经有很好的审计工具来处理这样的事情。 不幸的是在Windows环境下,我没有经验作为系统pipe理员,只有普通的最终用户。

免责声明2:当有人遇到类似的问题(神秘的电子邮件,或传出的数据包),断开这台机器进行进一步分析是个好主意。

随机发生的问题可以使用良好的测井系统进行跟踪。 在这种情况下,您需要在邮件服务器和最终用户PC中设置日志logging。 Windows PC必须具有有关时间戳,PID和传出连接目标的日志条目。 Debian服务器应该logging收到邮件时的时间戳以及邮件的发件人和收件人。 有了这两个信息,您可以查看哪些stream程发送给您的电子邮件。 这就是为什么时间同步很重要 。

过去 ,您使用TCPview来获取Windows活动的图片。 坏的新的是TCPView不能做日志logging。 所以,你必须查看TCPview窗口,直到电子邮件发送。 另一个坏消息是SMTP交易可以非常快,所以你的眼睛很less有机会捕获SMTP事件。

基于这个超级用户的答案 ,您可以尝试进程监视器来帮助您loggingnetworking连接及其PID。 程序将需要打开并运行,以便logging日志,但是如果将日志设置为将日志保存到磁盘中,则可以随时检查日志。

进程监视器

有了这个工具,您可以在一天结束时运行并检查日志。 不需要再次连续观看屏幕。