問題
2015 年 1 月 12 日以降、不明な送信元から予期しない空の電子メールが送信されます。
問題を解決するための試み
- これらはすべて私がネットワーク/システムサポートを行っている会社のものです
- これらはすべてWindows 7マシンからのものである
- すべてのマシンにOutlookがインストールされている
- メールの本文は常に空です
- これはユーザーのやり取りとは何の関係もありません。メールが届いた直後に何度か電話をかけましたが、彼らはブラウジングなどの通常の作業をしていただけです。誰も PC を使用していないときでも、これらのメールを受け取ることがあります。
- 3台のPCはすべて2015年1月12日にこれらのメールを送信し始めました
- 時間は関係ありません(夜中でもメールが届くことがあります)
- PC がオンのときのみメールを受信します。たとえば、RobertPC は常にオンで、週末にのみメールを受信します (他の PC はオフになっています)
- 電子メールの件名にはいくつかのパターンがあります。
WITT - report Helios pocitac- WittPCより
WITT Lenka report- Martina PCより
WITT - Robert report- RobertPC より
ただし、「WITT Lenka report」ではハイフンがないことに注意してください。また、「report」という単語が「WITT - report Helios pocitac」では件名の真ん中にありますが、他の 2 つの件名では末尾にあります。
ここで、2 つのメールのソース コードを投稿します。 の自分のメール アドレスと[email protected]の会社のメール アドレスを変更したことに注意してくださいcompany_mail@their_domain.com。 会社は WITT と呼ばれ、件名の名前に関連しています。
Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
for <[email protected]>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
2番目のメール:
Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
for <[email protected]>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
質問
これらのメールを送信しているサービスまたはアプリケーションは何ですか、またはソースを追跡するにはどうすればよいですか?
答え1
免責事項 1: もちろん、Windows にはこのような問題に対処するための優れた監査ツールがすでにあります。残念ながら、Windows 環境では、私はシステム管理者としての経験はなく、一般のエンド ユーザーとしての経験しかありません。
免責事項 2: このような問題 (謎の電子メール、または送信パケット) に遭遇した場合は、このマシンを切断してさらに分析することをお勧めします。
ランダムに発生した問題は、適切なログシステムを使用して追跡できます。この場合、メールサーバーとエンドユーザーのPCでログを設定する必要があります。Windows PCには、タイムスタンプ、PID、および送信接続ターゲットに関するログエントリが必要です。Debianサーバーには、メールを受信したタイムスタンプと、メールの送信者と受信者に関するログが必要です。この2つの情報を使用して、どのプロセスがメールを送信したかを確認できます。時刻同期は重要。
過去にこれまで、TCPview を使用して Windows アクティビティの状況を把握してきました。残念なことに、TCPview ではログ記録ができません。そのため、電子メールが送信されるまで TCPview ウィンドウを確認する必要があります。また、SMTP トランザクションは非常に高速であるため、SMTP イベントを目で確認できる可能性はほとんどありません。
に基づくこのスーパーユーザーの回答、 あなたが試すことができますプロセスモニターネットワーク接続とその PID をログに記録するのに役立ちます。ログを記録するにはプログラムを開いて実行している必要がありますが、記録時にログをディスクに保存するように設定しておけば、後でいつでも確認できます。
このツールを使用すると、1 日の終わりにログを実行して確認できます。画面を継続的に監視する必要はありません。