Моя организация использует почтовые службы Google для создания и управления своими учетными записями электронной почты. Недавно с идентификатора Gmail (предположительно, поддельной учетной записи, созданной специально для этой цели) на многие адреса электронной почты нашей организации было отправлено подозрительное письмо.
Можем ли мы отследить IP (как локальный, так и публичный) и MAC-адрес машины, с которой было отправлено это письмо? Мы подозреваем, что эта деятельность осуществлялась внутри организации. У меня есть доступ к нашему серверу электронной почты.
решение1
Возможно,Полученныйзаголовки показывают IP-адрес клиента. Полученные заголовки добавляются вверху, поэтому самый верхний из них является самым новым. Сервер находится в публичной сети, поэтому он может регистрировать только публичный адрес клиента. Однако большинство интернет-провайдеров больше не включают IP-адреса клиентов в заголовок Received из соображений конфиденциальности. Вы также можете запросить у Google подробности из их журнала, но я не уверен, что они предоставят их.
MAC-адреса никогда не включаются в заголовки, так что это не сработает.
Если почта пришла из вашей сетииЕсли вы правильно регистрируете данные о подключении, то, возможно, есть шанс точно определить источник. Извлеките точную временную метку входящего сообщения из соответствующего заголовка Received (самая низкая=самая старая, в которой упоминается сервер Gmail). С этой временной меткой проверьте журналы брандмауэра на наличие пользователя, получающего доступ к Gmail через SMTP. Если пользователи делают это с помощью HTTPS, вам потребуются подробные журналы, требующие проверки SSL.
Боюсь, если у вас нет чего-либо из вышеперечисленного, то найти источник не получится.