![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(281.6, 28.000000000000004%, 37%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
我们公司内部有一个邮箱用户向外部发了一封钓鱼邮件,指定是哪个邮箱发出去的,但是无法锁定是哪台机器登录这个邮箱发的,查询了相关的日志均没有源IP,请问我该如何排查
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(137.6, 20%, 23%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EMH%3C/text%3E%3C/svg%3E)
Hi,
根据您的描述,我想知道您查看了哪些日志,以便我们进一步寻找可能有用的日志。
关于这个问题,您可以查看的相关日志有:邮件跟踪日志、协议日志、连接日志等。
另外,您也可以通过查看IIS日志中的登录时间、登录IP大致推断这封邮件的发送IP是什么:
关于IIS日志详情可以参考:https://serverfault.com/questions/947930/exchange-2016-how-to-audit-mailbox-user-access-to-get-their-ip
如果有任何进展请随时与我联系,我很乐意为您提供更多帮助!
分别查看了IIS日志和这几个路径下的日志,均没有找到发送IP。
D:\Exchange Server 2016\TransportRoles\Logs\Hub\ProtocolLog\SmtpSend
D:\Exchange Server 2016\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend
D:\Exchange Server 2016\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive
D:\Exchange Server 2016\TransportRoles\Logs\MessageTracking
还有IIS日志
分别查看了IIS日志和这几个路径下的日志,均没有找到发送IP。
D:\Exchange Server 2016\TransportRoles\Logs\Hub\ProtocolLog\SmtpSend
D:\Exchange Server 2016\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend
D:\Exchange Server 2016\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive
D:\Exchange Server 2016\TransportRoles\Logs\MessageTracking
还有IIS日志
Hi,
感谢您提供的以上信息,您还可以尝试使用Event viewer查看登录的信息
如果用户帐户成功登录客户端,则会生成事件 ID 4624。如果用户帐户登录客户端失败,将生成事件 ID 4625。
您可以根据登录时间和钓鱼邮件发送的时间进行对比,可以大致推断出该邮件的发送IP。
另外,日志以及事件查看器都只是常规的查询办法,如果涉及到黑客行为,我们很难追溯到其源IP地址。
希望这对您有所帮助。祝您生活愉快!
查看过登录日志,只能看到用户名,IP为空。如何判断是否是黑客行为
如果这些日志都不起作用的话,你可能需要寻找更加专业的网络相关技术帮助。我无法提供判断黑客行为的具体办法,不过以我的个人经验,如果邮件中包含威胁组织或设备安全的脚本、病毒程序等,可能会涉及到黑客行为。另外,如果账号被盗用的情况下登录,并发送了钓鱼邮件,这也可能与黑客行为有关。
希望这对您有所帮助。
能给一些建议吗
您好,在论坛的“Exchange”标签下我们仅提供有关Exchange的常规问题的技术支持,不过根据我的个人经验,如果有黑客冒用了您的域名发送邮件,您可以检查您的Exchange服务器是不是开放中继,配置为开放中继的邮件服务器允许来自任何来源的邮件通过开放中继服务器透明地重新路由。此行为会屏蔽邮件的原始来源,并使其看起来像是来自开放中继服务器的邮件。详细请参考:允许在 Exchange 服务器上进行匿名中继 |Microsoft学习,另外您可以使用SPF,DKIM以及DMARC记录去加强服务器安全,以避免钓鱼者以组织的名义发送非法邮件,详情请参考:【教程】SPF,DKIM以及DMARC记录介绍 | Microsoft Learn以及设置 SPF 标识 Microsoft 365 域的有效电子邮件源 - Microsoft Defender for Office 365 |Microsoft学习。