Mi organización utiliza los servicios de correo electrónico de Google para la creación y administración de sus cuentas de correo electrónico. Recientemente, se envió un correo electrónico objetable desde una ID de Gmail (presumiblemente una cuenta falsa creada específicamente para este propósito) a muchas de las direcciones de correo electrónico de nuestra organización.
¿Podemos rastrear la IP (tanto local como pública) y la dirección MAC de la máquina utilizada para enviar este correo electrónico? Sospechamos que esta actividad ocurrió desde dentro de la organización. Tengo acceso a nuestro servidor de correo electrónico.
Respuesta1
Posiblemente, elRecibióLos encabezados muestran la dirección IP del cliente. Los encabezados recibidos se agregan en la parte superior, por lo que el de arriba es el más nuevo. El servidor está en una red pública, por lo que sólo puede registrar la dirección pública del cliente. Sin embargo, la mayoría de los ISP ya no incluyen las direcciones IP de los clientes en el encabezado Recibido por razones de privacidad. También puedes pedirle a Google detalles de su registro, pero no estoy seguro de que te los entreguen.
Las direcciones MAC nunca se incluyen en ningún encabezado, por lo que no funcionará.
Si el correo se originó en su redySi está registrando correctamente los detalles de la conexión, es posible que exista la posibilidad de identificar la fuente. Extraiga la marca de tiempo de entrada exacta del encabezado Recibido correspondiente (el más bajo = el más antiguo que menciona un servidor de Gmail). Con esa marca de tiempo, verifique los registros de su firewall para ver si un usuario accede a Gmail a través de SMTP. Si los usuarios lo hacen mediante HTTPS, necesitarán registros detallados que requieran inspección SSL.
Si falta algo de lo anterior, me temo que no hay forma de encontrar la fuente.