Receber e-mails vazios de três PCs com Windows diferentes desde 12 de janeiro de 2015

1

Problema

E-mails vazios inesperados são enviados por uma fonte desconhecida desde 12 de janeiro de 2015.

Tenta resolver o problema

  • eles são todos da empresa onde eu faço network / sys support
  • são todos de máquinas com Windows 7
  • todas as máquinas têm o Outlook instalado
  • os emails têm sempre corpo vazio
  • não tem nada a ver com a interação do usuário. Liguei para eles várias vezes quando o e-mail chegou e eles estavam fazendo apenas coisas comuns, como navegar etc. Às vezes eu recebo esses e-mails mesmo quando não há ninguém usando PC.
  • todos os três PCs começaram a enviar esses e-mails em 12 de janeiro de 2015
  • os horários não estão relacionados (às vezes recebo correspondência mesmo durante a noite)
  • Eu recebo emails somente quando os computadores estão ligados. Por exemplo, RobertPC está sempre ligado e eu recebo e-mails apenas dele durante os fins de semana (outros estão desligados)
  • há algum padrão em assuntos de e-mails:

WITT - report Helios pocitac - vindo da WittPC

WITT Lenka report - vindo de Martina PC

WITT - Robert report - vindo de RobertPC

No entanto, observe o hífen faltando no "relatório WITT Lenka". Observe também que a palavra "relatório" está no meio do assunto em "WITT - reportar Helios pocitac", enquanto em outros dois assuntos é no final.

Aqui eu coloco o código fonte de dois e-mails. Observe que alterei meu endereço de e-mail para [email protected] e o endereço de e-mail da empresa para company_mail@their_domain.com . Empresa é chamada WITT e sua relacionada ao nome em assunto.

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
        Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
        by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
    for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

2º email:

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
        Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
        Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
        by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
    for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

Pergunta

Qual serviço ou aplicativo está enviando esses e-mails ou como rastrear a origem?

    
por mist 02.03.2015 / 11:47

1 resposta

0
Disclaimer 1: É claro que o Windows já tem uma boa ferramenta de auditoria para lidar com algo assim. Infelizmente, no ambiente Windows, eu não tenho experiência como um administrador de sistema, apenas um usuário final regular.

Disclaimer 2: Quando alguém encontrar um problema semelhante como este (e-mail misterioso ou pacote de saída), seria uma boa idéia desconectar esta máquina para análise posterior.

O problema ocorrido aleatoriamente pode ser rastreado usando um bom sistema de registro. Neste caso, você precisa configurar o log em seu servidor de e-mail e no PC do usuário final. O Windows PC deve ter entrada de log sobre registro de data e hora, PID e destino da conexão de saída. O servidor Debian deve ter registro sobre o registro de data e hora quando o e-mail é recebido e quem é o remetente e o destinatário do e-mail. Com essas duas informações, você pode ver qual processo enviou o e-mail para você. É por isso que a sincronização de horário é importante .

No passado , você usou o TCPview para obter uma imagem da atividade do Windows. O novo problema é que o TCPView não pode fazer log. Então, você tem que olhar para janelas TCPview até que o email seja enviado. A outra má notícia é que a transação SMTP pode ser muito rápida, então há pouca chance de que seus olhos capturem o evento SMTP.

Com base em esta resposta de superusuário , você pode tentar Process Monitor para ajudá-lo a registrar a conexão de rede e seu PID. O programa precisará estar aberto e em execução para gravar os logs, mas se você configurá-lo para salvar os logs em disco enquanto os registra, poderá revisá-los mais tarde.

Com essas ferramentas, você pode executar e verificar o registro no final do dia. Não há necessidade de assistir a tela continuamente novamente.

    
por 14.05.2015 / 00:45