Encontre o IP de origem de um e-mail

Navegue suas respostas
1

Existe alguma maneira de encontrar o IP do cliente original que enviou um e-mail interno?

  • No IIS, posso ver os clientes conectados, mas você não pode ver quais clientes enviam e-mail.

  • Nos logs de controle de mensagens / logs de transporte, posso encontrar o email, mas, dependendo da configuração, vejo apenas o endereço IP do servidor Exchange ou o balanceador de carga ARR (o bastante estranho ???) no Campo "Original-client-IP".

Alguém conhece outra opção? Eu olhei, mas não encontrei nada, embora o Mailbox Audit Logging parece promissor.

    
por Jozef Woo 11.04.2018 / 17:39

1 resposta

1

Eu recomendaria usar o seguinte 

    Get-TransportService | ForEach-Object {Get-MessageTrackingLog -Server $_.Name -MessageSubject "Your Email subject" -Start (Get-Date).AddDays(-1) -EventId Submit } | Select-Object -Property Sender,OriginalClientIp

Isso deve consultar todos os servidores Exchange e devolver o envio original da mensagem de e-mail original e o endereço IP de onde foi enviado.

Agora, se os servidores ARR fizerem proxy da conexão com os servidores Exchange de clientes internos, isso explicaria porque você está vendo o IP dos servidores proxy como - para o Exchange - a conexão parece ter origem nos servidores proxy.

Mailbox Audit Logging parece promissor - se a auditoria foi ativada na caixa de correio antes do envio do email - e somente se o email foi enviado usando as permissões "SendAs" ou "SendOnBehalfOf", como apenas enviar um email (ou seja, um proprietário criando um item de mensagem) não é uma ação auditável.

    
por 11.04.2018 / 22:29

Tags

Configuração de roteamento - O ping só funciona em um caminho Usando openvswitch com mpls e tcp