Minha organização usa os serviços de e-mail do Google para criar e gerenciar contas de e-mail. Recentemente, um e-mail questionável foi enviado de um ID do Gmail (presumivelmente uma conta falsa criada especificamente para essa finalidade) para muitos endereços de e-mail da nossa organização.
Podemos rastrear o IP (local e público) e o endereço MAC da máquina usada para enviar este e-mail? Suspeitamos que esta atividade aconteceu dentro da organização. Eu tenho acesso ao nosso servidor de e-mail.
Responder1
Possivelmente, oRecebidocabeçalhos mostram o endereço IP do cliente. Os cabeçalhos recebidos são adicionados na parte superior, portanto, o superior é o mais recente. O servidor está em uma rede pública, portanto só pode registrar o endereço público do cliente. No entanto, a maioria dos ISPs não inclui mais endereços IP de clientes no cabeçalho Recebido por motivos de privacidade. Você também pode pedir ao Google detalhes do registro, mas não tenho certeza se eles entregariam.
Os endereços MAC nunca são incluídos em nenhum cabeçalho, portanto isso não funcionará.
Se o e-mail tiver origem na sua redeevocê está registrando corretamente os detalhes da conexão, então pode haver uma chance de identificar a fonte. Extraia o carimbo de data/hora exato de entrada do cabeçalho Recebido correspondente (o mais baixo=mais antigo mencionando um servidor do Gmail). Com esse carimbo de data/hora, verifique os registros do firewall para ver se há um usuário acessando o Gmail via SMTP. Se os usuários fizerem isso usando HTTPS, serão necessários logs detalhados, exigindo inspeção SSL.
Se você não tiver alguma das opções acima, não há como encontrar a fonte, infelizmente.