Meine Organisation verwendet die E-Mail-Dienste von Google zum Erstellen und Verwalten ihrer E-Mail-Konten. Vor Kurzem wurde eine anstößige E-Mail von einer Gmail-ID (vermutlich ein speziell zu diesem Zweck erstelltes gefälschtes Konto) an viele E-Mail-Adressen unserer Organisation gesendet.
Können wir die IP-Adresse (sowohl lokal als auch öffentlich) und die MAC-Adresse des zum Senden dieser E-Mail verwendeten Computers zurückverfolgen? Wir vermuten, dass diese Aktivität innerhalb der Organisation stattgefunden hat. Ich habe Zugriff auf unseren E-Mail-Server.
Antwort1
MöglicherweiseErhaltenHeader zeigen die IP-Adresse des Clients. Die empfangenen Header werden oben hinzugefügt, der oberste ist also der neueste. Der Server befindet sich in einem öffentlichen Netzwerk und kann daher nur die öffentliche Adresse des Clients protokollieren. Die meisten ISPs nehmen die IP-Adressen der Clients aus Datenschutzgründen jedoch nicht mehr in den empfangenen Header auf. Sie könnten Google auch nach Details aus ihrem Protokoll fragen, aber ich bin nicht sicher, ob sie diese liefern würden.
MAC-Adressen sind niemals in Headern enthalten, daher funktioniert das nicht.
Wenn die E-Mail aus Ihrem Netzwerk stammtUndWenn Sie die Verbindungsdetails richtig protokollieren, besteht möglicherweise die Möglichkeit, die Quelle zu ermitteln. Extrahieren Sie den genauen Zeitstempel des Eingangs aus dem entsprechenden „Received“-Header (der niedrigste = älteste, der einen Gmail-Server erwähnt). Überprüfen Sie mit diesem Zeitstempel Ihre Firewall-Protokolle auf einen Benutzer, der über SMTP auf Gmail zugreift. Wenn Benutzer dies über HTTPS tun, benötigen Sie detaillierte Protokolle, die eine SSL-Prüfung erfordern.
Wenn Ihnen einer der oben genannten Punkte fehlt, gibt es meiner Meinung nach keine Möglichkeit, die Quelle zu finden.