我的組織正在使用 Google 的電子郵件服務來建立和管理其電子郵件帳戶。最近,一封令人反感的電子郵件從 Gmail ID(可能是專門為此目的創建的虛假帳戶)發送到我們組織的許多電子郵件地址。
我們可以追蹤用於發送此電子郵件的電腦的 IP(本機和公用)和 MAC 位址嗎?我們懷疑此活動是在組織內部發生的。我確實可以訪問我們的電子郵件伺服器。
答案1
可能,已收到標頭顯示客戶端的 IP 位址。收到的標頭添加在頂部,因此最頂部的標頭是最新的。伺服器位於公共網路上,因此只能記錄客戶端的公共位址。但是,出於隱私原因,大多數 ISP 不再將客戶端 IP 位址包含在「已接收」標頭中。您也可以向 Google 詢問其日誌中的詳細信息,但我不確定他們是否會提供。
MAC 位址永遠不會包含在任何標頭中,因此這是行不通的。
如果郵件來自您的網路和如果您正確記錄了連接詳細信息,那麼可能有機會找出來源。從對應的 Received 標頭中提取準確的入口時間戳(最低的 = 最舊的提及 Gmail 伺服器的時間戳記)。使用該時間戳,檢查防火牆日誌中是否有透過 SMTP 存取 Gmail 的使用者。如果使用者使用 HTTPS 執行此操作,您將需要詳細的日誌,從而需要 SSL 檢查。
如果您缺少上述任何一項,恐怕就無法找到來源。