Nossa rede de 120 máquinas Windows possui 1 ou mais computadores enviando spam. Existe uma maneira fácil de encontrar essa máquina sem verificar fisicamente cada uma delas?
Primeiro, bloqueie todo o tráfego SMTP de saída de máquinas que não precisam dele. Então você poderia verificar seu firewall para hosts tentando acessar servidores SMTP.
Ou você pode ativar o espelhamento de portas na borda / roteador de borda e conectar um PC com um sniffer de pacotes. Não deve ser difícil conseguir os spammers com WireShark.
Faça uma captura de pacotes ou configure algum tipo de filtro de registro em seu equipamento de perímetro (firewall ou roteador de borda). Observe o tráfego de saída destinado à porta 25. Assim que você encontrar o IP do tráfego, retroceda para encontrar a máquina. Isso pode significar observar as tabelas CAM nos seus switches para descobrir qual porta está associada ao endereço MAC ao qual o IP pertence.
A menos que você tenha uma strong necessidade, sugiro que simplesmente bloqueie as solicitações de saída para a porta 25 de todos os sistemas, exceto o servidor de e-mail.
Tags email network-monitoring spam