Onde é o log de acesso MAPI no Exchange 2007

Navegue suas respostas
1

Eu tenho uma máquina enviando spam na minha rede. O rastreamento de mensagens no Exchange mostra o IP de origem como o IP do meu cluster do Exchange em vez da estação de trabalho de origem. O PC do usuário estava desligado durante o tempo em que as mensagens foram enviadas, de modo que parece ter vindo de uma estação de trabalho diferente, OWA ou dispositivo móvel. Eu verifiquei logs do OWA e a única coisa para se conectar com suas credenciais foi o seu iPhone.

Agora quero encontrar os logs que me mostrarão quais dispositivos (endereço IP) estão conectados ao Exchange via Outlook (MAPI), mas não consigo encontrar esse arquivo de log. Eu pesquisei e também procurei por este fórum antes de postar e só encontrei outros com a mesma pergunta - sem resposta.

Obrigado

    
por Paul Ackerman 17.01.2012 / 14:52

2 respostas

2

Não há nenhum recurso no Exchange 2007 para fazer o que você está procurando, especificamente. O Registro de auditoria de caixa de correio foi adicionado no Exchange 2010 para "reforçar" os recursos de auditoria no acesso à caixa de correio por meio de MAPI.

Seria único, na minha experiência, ter um cliente enviando spam via MAPI. É muito mais provável que você tenha permitido a retransmissão aberta da sua LAN ou da Internet e as mensagens estão sendo retransmitidas via SMTP. Também é possível que eles sejam originados no próprio computador do Exchange Server.

Eu configurei um espelho de porta da interface de rede do computador do Exchange Server e farejei todo o tráfego SMTP até que um pouco do tráfego incorreto fosse registrado. Eu suspeito que você vai encontrar a fonte das mensagens fazendo isso.

Se você realmente conseguir uma das mensagens ofensivas, procure um cabeçalho semelhante ao seguinte: 

Received: from Your-Exchange-Server.domain.com ([1.1.1.1]) by
    Your-Exchange-Server.domain.com ([1.1.1.1]) with mapi; Mon, 16 Jan 2012
    14:47:40 -0500

As mensagens enviadas com MAPI teriam esse cabeçalho em um ambiente do Exchange 2007.

    
por 17.01.2012 / 16:02
0

Como Evan aponta, o envio de MAPI é menos provável do que o SMTP aberto relayed anônimo.

Se você tiver vários conectores de recebimento e tiver dificuldade em descobrir de onde veio, use MessageId no cabeçalho para pesquisar todos os eventos pertencentes a essa mensagem nos registros de controle de mensagens.

Use o cmdlet Get-MessageTrackingLogs do EMS ou abra o console de gerenciamento, selecione a caixa de ferramentas e, em seguida, o Visualizador de controle de mensagens. Limpe a caixa de seleção "events" e passe no MessageId para procurar e ver se alguma outra informação aparece.

Você também pode procurar por mensagens enviadas pelo usuário aparentemente falsificado no período em que o SPAM foi enviado

    
por 17.01.2012 / 16:13

Tags

Backup Exec - Restaurando Cache de Arquivos Offline O controlador raid HP p212 é suportado no servidor LTS do Ubuntu 8.04?