問題
自 2015 年 1 月 12 日起,不明來源發送了意外的空白電子郵件。
嘗試解決問題
- 他們都來自我提供網路/系統支援的公司
- 他們都來自Windows 7機器
- 所有機器都安裝了 Outlook
- 電子郵件的正文總是空的
- 它與使用者的交互無關。當電子郵件到達時,我給他們打了幾次電話,他們只是在做一些常規的事情,例如瀏覽等。
- 所有三台 PC 均於 2015 年 1 月 12 日開始發送這些郵件
- 時間無關(有時我甚至在晚上也收到郵件)
- 我僅在電腦開啟時才收到電子郵件。例如,RobertPC 始終處於開啟狀態,我僅在周末收到來自它的電子郵件(其他則關閉)
- 電子郵件的主題有一些模式:
WITT - report Helios pocitac- 來自 WittPC
WITT Lenka report- 來自瑪蒂娜電腦
WITT - Robert report- 來自 RobertPC
但請注意「WITT Lenka 報告」中缺少連字號。另請注意,“報告”一詞位於“WITT - report Helios pocitac”中主題的中間,而在其他兩個主題中,它位於末尾。
這裡我貼出兩封郵件的原始碼。請注意,我更改了我的電子郵件地址[email protected]和公司的電子郵件地址company_mail@their_domain.com。公司名為 WITT,與主題中的名稱相關。
Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
for <[email protected]>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
第二封電子郵件:
Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
for <[email protected]>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
問題
什麼服務或應用程式正在發送這些電子郵件或如何追蹤來源?
答案1
免責聲明 1:當然,Windows 已經有很好的審核工具來處理這類問題。不幸的是,在 Windows 環境中,我沒有系統管理員的經驗,只有普通的最終使用者。
免責聲明 2:當有人遇到類似的問題(神秘的電子郵件或傳出資料包)時,最好斷開這台電腦的連線以進行進一步分析。
可以使用良好的日誌系統來追蹤隨機發生的問題。在這種情況下,您需要在郵件伺服器和最終使用者 PC 中設定日誌記錄。 Windows PC 必須具有有關時間戳記、PID 和傳出連線目標的日誌條目。 Debian 伺服器應該記錄電子郵件收到時的時間戳記以及電子郵件的寄件者和收件者。透過這兩個訊息,您可以查看哪個進程向您發送了電子郵件。這就是為什麼時間同步很重要。
在過去,您已經使用 TCPview 來取得 Windows 活動的圖片。壞消息是 TCPView 無法進行日誌記錄。因此,您必須查看 TCPview 窗口,直到電子郵件發送為止。另一個壞消息是 SMTP 事務可能非常快,因此您的眼睛捕捉 SMTP 事件的機會很小。
基於這位超級用戶的回答, 你可以試試過程監控器幫助您記錄網路連線及其 PID。程式需要開啟並運行才能記錄日誌,但如果您將其設定為在記錄日誌時將日誌儲存到磁碟,您以後可以隨時查看它們。
使用此工具,您可以在一天結束時運行並檢查日誌。無需再次連續觀看螢幕。