我有一台机器在我的networking上发送垃圾邮件。 Exchange中的邮件跟踪将源IP显示为我的Exchange群集的IP,而不是源工作站。 在邮件发送期间,用户的PC已closures,因此似乎来自不同的工作站,OWA或移动设备。 我已经检查了OWA日志,唯一连接他的凭据是他的iPhone。
我现在想find日志,告诉我哪些设备(IP地址)通过Outlook(MAPI)连接到Exchange,但我似乎无法find这个日志文件。 我GOOGLE了,也search了这个论坛之前发布,只有find其他人与我的同一个问题 – 没有答案。
谢谢
Exchange 2007中没有任何function可以执行您正在查找的内容。 在Exchange 2010中添加了邮箱审核日志 ,以通过MAPI“增强”邮箱访问的审核function。
以我的经验来看,让客户通过MAPI提交垃圾邮件是独一无二的。 您更可能允许从您的局域网或互联网进行中继,并通过SMTP中继这些消息。 它们也可能源于Exchange Server计算机本身。
我会设置Exchange Server计算机的networking接口的端口镜像,并嗅探所有的SMTP通信,直到logging一些有问题的stream量。 我怀疑你会发现消息的来源。
如果你真的可以得到一个有问题的消息,请找一个类似如下的头文件:
Received: from Your-Exchange-Server.domain.com ([1.1.1.1]) by Your-Exchange-Server.domain.com ([1.1.1.1]) with mapi; Mon, 16 Jan 2012 14:47:40 -0500 使用MAPI提交的邮件将在Exchange 2007环境中具有该标头。
正如Evan所指出的那样,MAPI提交的信息比公开匿名中继SMTP的可能性要小。
如果您有多个接收连接器并且无法确定其来源,请使用标题中的MessageId在邮件跟踪日志中search与此消息有关的所有事件。
使用EMS中的Get-MessageTrackingLogs cmdlet或打开pipe理控制台,select工具箱,然后select邮件跟踪查看器。 清除“事件”checkbox并在MessageId中search以查看是否有更多的信息出现。
您也可以在垃圾邮件发送的时间范围内search明显被欺骗的用户发送的邮件