É possível rastrear um email de saída enviado de volta para a origem?

Sem uma cópia do e-mail com os cabeçalhos originais, isso será quase impossível de rastrear. Se você tivesse os cabeçalhos, você poderia ver os cabeçalhos "Recebidos" e seguir o caminho de volta para a origem rapidamente. Sem as informações usuais, sua melhor opção é examinar os logs do Exchange Server pelo tempo aproximado em questão para ver quem estava enviando e-mails. Se você tiver algum tipo de log de auditoria de mensagens, poderá procurar algumas mensagens "spam" de um determinado usuário.

Como você sabe que essa mensagem veio pelo seu servidor de troca? Se houver malware instalado em uma estação de trabalho e você não bloquear o SMTP de saída, o malware poderá estar fazendo conexões SMTP diretamente e sem tocar em seu servidor Exchange. Você também pode ter um proxy configurado incorretamente ou qualquer outra coisa que esteja sendo usada como retransmissão.

Na minha opinião, o SMTP de saída deve ser bloqueado no perímetro de tudo, exceto seus servidores de e-mail. Se você ainda não estiver bloqueando o SMTP e não tiver nenhuma configuração de registro, não será possível provar nada. Qualquer computador na rede poderia ter feito uma conexão SMTP com o servidor.

Se você está realmente preocupado com isso, você também pode configurar o registro em seu dispositivo de perímetro para registrar pelo menos o primeiro pacote de qualquer comunicação da porta 25.

E-mail é tão fácil de forjar. Também é totalmente possível que você tenha sido bloqueado como spam e a mensagem não tenha sido originada de sua rede. Talvez algum administrador ingênuo do sistema tenha assumido que alguns dos cabeçalhos SMTP eram válidos quando, na verdade, eles eram forjados.

Como você sabe quando foi enviado, pode encontrar algumas informações no Registro de acompanhamento de mensagens. Também seria útil saber para qual domínio ele foi enviado.

Você pode encontrar o local do registro nas configurações do servidor do Exchange.

Para o Exchange 2007, procure em Configuração do servidor e obtenha Propriedades em seu servidor Exchange. Em seguida, verifique a guia Configurações do registro e veja se o registro de rastreamento de mensagens está ativado. Nesse caso, isso lhe dirá onde está armazenado.

Para o Exchange 2003, você também obtém propriedades em seu servidor Exchange, mas desta vez deve estar na guia Geral.

Depois de encontrar os registros, você deve poder abrir o registro pelo tempo que você suspeitar e ver qual era a atividade no seu servidor no momento.

Você pode escrever um script para verificar todas as pastas Enviar itens para cada caixa de correio em troca ...

Você pode usar CDOEX qual é uma interface COM para trocar.

CDOEX is used in applications that use messaging to send and process e-mail, calendar, and contact information, as well as allowing programmatic access to mailbox and public folders. Note that CDOEX can only be run from a computer on which Exchange has been installed.

Usando um script VB, o administrador do sistema pode verificar todas essas pastas.

Mas o programador em você pode preferir C #, portanto, você pode usar a interface OLE DB ExOLEDB para o Exchange. A Microsoft ainda tem um exemplo que usa o ADO.

Applications that use ExOLEDB typically access information from the Exchange store by using SQL queries. ExOLEDB can be used to retrieve and manipulate all types of data in the Exchange store that the user has permission to access. ExOLEDB also provides full-text search capability over items in the Exchange store.

Então, opções suficientes, eu acho.

Sabendo a hora aproximada e o destino exato do e-mail, você pode filtrar os registros do Exchange para possíveis suspeitos. Se você puder encontrá-lo, depende do volume de tráfego que passa pelo Exchange.