iT邦幫忙

0

Exchange sever如何查詢信件來源IP

我公司是使用exchane server 2016,user反映說有一個客戶收到一封訂單貨款的信件,但是卻不是公司同仁發出來的信件,一開始以為是偽裝網域的mail,結果去查spam發現確實有透過mail server傳出去,但是要回去查exchange server看不到到底是從哪個IP發出來的。

因為原本該使用者在放產假,所以基本上該帳號有開放web操作介面&並且有8位同仁協助應付信件,但是問題來了,如果今天包含user&其他8名同仁如果在各不同裝置但是在web介面使用同一個帳號在處理信件,我要怎麼知道是哪一個同仁的裝置遭到病毒....並且發出這封信件?

目前我唯一能做的是在原user端的電腦先做掃毒的動作,但是其餘的.....我真的沒辦法處理...我能改密碼,但是其他user還是會要知道變更後的密碼= =",根本沒辦法治本....傷腦筋

看更多先前的討論...收起先前的討論...
harrytsai iT邦新手 4 級 ‧ 2019-07-26 14:59:01 檢舉
看信件內容就可以看到,從哪邊到哪邊了
WEB有LOG可以查
但是沒辦法知道是誰也沒辦法知道從哪個裝置或者IP可以查詢,因為spam看到的ip都是主機ip
所以我的問題點是不知道誰用該組的帳密然後再有問題的裝置上面收發mail

2 個回答

0
Sergeyau
iT邦研究生 1 級 ‧ 2019-07-26 22:16:06
最佳解答

可以查看OWA log:
https://www.webcommand.net/index.php/2018/09/21/whos-hacking-my-exchange-owa-check-with-log-parser-2-2/

如果是office365:
https://blogs.technet.microsoft.com/exovoice/2017/03/14/how-to-see-the-ip-addresses-from-where-your-office-365-users-are-accessing-owa/

但是,開放web操作介面並且讓同事使用該帳密在管理上是危險的方式,可以直接從exchange給不同的權限,通常會給Send on Behalf這樣就知道實際上是誰的帳號寄出去的。
https://docs.microsoft.com/en-us/exchange/recipients/mailbox-permissions?view=exchserver-2016

其實我也知道開放帳密是一件不好的事情,只是因為該業務的代理人剛進公司一陣子沒辦法應付原本業務所有客戶,加上一般客戶喜歡單一窗口,太多窗口客戶覺得很混亂,感謝各位提供訊息,我會花時間找一下各位提供的資訊,如果還有更好的答案,也請多多提供給我參考,謝謝

謝謝大大分享的資訊~目前透過大大資訊學到很多,但是我還是沒辦法找出當初登入帳號的IP位置,但是大大提供的資訊比較符合我要的資訊,謝謝。

0
player
iT邦大師 1 級 ‧ 2019-07-26 17:38:19

謝謝我星期一來研究一下

我要發表回答

立即登入回答