Hi,
根据您的描述,我想知道您查看了哪些日志,以便我们进一步寻找可能有用的日志。
关于这个问题,您可以查看的相关日志有:邮件跟踪日志、协议日志、连接日志等。
另外,您也可以通过查看IIS日志中的登录时间、登录IP大致推断这封邮件的发送IP是什么:
关于IIS日志详情可以参考:https://serverfault.com/questions/947930/exchange-2016-how-to-audit-mailbox-user-access-to-get-their-ip
如果有任何进展请随时与我联系,我很乐意为您提供更多帮助!