С какой машины было отправлено письмо. Или IP. Exc2010
 

Добрый день! WinSrv 2008 64 std+Exchange 2010
какая то не здоровая ситуация с одним из почтовых ящиков. В логах, с него очень много рассылается, и на него же приходит куча отлупов, якобы о неудавшихся посылках писем на какие то левые адреса.
Правда пока что только из одного аккаунта такая вот лажа.

есть ли какой нибудь способ посмотреть в логах, вот сколько и с какого IP был осуществлен логин и факт посылки сообщения?

Буду очень признателен.

akaAmigos, трояна схлопотал владелец ящика – и ящик стал звеном бот-сети.
Даже если после этого троян был удалён – утёкшие логин и пароль могут использоваться бот-сетью без ведома владельца ящика, причём с разных адресов, и необходимо менять пароль на ящик.
Владелец его ведь известен? Даже если нет – обычно в таких случаях ящик блокируют, а администратору, управляющему ящиками, направляют соответствующее уведомление о принятых [драконовских] мерах и причинах их применения.

Не "якобы". Просто – о неудавшихся посылках писем на какие то левые адреса.

к сожалению, тоже об этом думаю.
но проблема в том что, просто смена пароля не помогла.
более, того, на домашний комп я попасть не могу, пользователя, может оттуда все.
потому хочется найти письма, с какой сессии они, с какого айпи.

а то что это возможен взлом, спасибо за подсказку)

но хотелось бы по сути вопроса, ответ.

Всё же я считаю что вы не туда копаете. Посмотрите служебные заголовки отправляемых сообщений, типа:
где фиксируются как IP отправителя, так и все промежуточные точки (сервера), через которые прошло письмо. Ну получите вы сотню абсолютно разных IP, из Малайзии, Сингапура, Бразилии? Что вам это даст? Да и возможна подделка адреса отправителя.

А вот то, что смена пароля не помогла – это фактически прямое указание на то, что у владельца ящика на том компьютере, куда вы попасть не можете, сидит троян, и пока он не будет уничтожен – ящик будет продолжать быть частью бот-сети. И надо блокировать его ящик до принятия им мер ("Нарушение правил предоставления услуг" – у нас так провайдер один ящик, пользователь которого в другом городе, прикрыл: именно с этой формулировкой и с изложенными рекомендациями. Подключились по Тимвьюеру, нашли бяку, удалили, сообщили провайдеру, сменили пароль).

PS
И пароль на ящик вообще не должен быть таким, который подбирается за одну минуту подбором по словарям вроде вот этого – типа qwerty, 111111 и т.д.

PPS
И взгляните
http://exchangeserverpro.com/exchang...sage-tracking/
http://sysadmins.ru/topic346173.html
и вообще http://yandex.ru/yandsearch?text=%D0...xchange%202010
и http://yandex.ru/yandsearch?text=%D0...xchange%202010
– может быть там на исходный вопрос что есть.

-->>> to mwz:

Доброго дня!
я имел ввиду, что если будет внутренний IP адрес, то все понятно. если же внешний, то это тоже внесет некоторую ясность. Во всяком случае можно будет исключить внутренние машины.


Что касается, "тот компьютер, который дома", говорят что нет больше ни где не используется этот логинпароль от ящика.
остается только один внутренний компьютер. Но его проверили двумя разными антивирями, и они ничего не нашли.
Переустанавливать ради этого систему, не вариант.
Но ноги так и не найдены((
Пароль не простой, но и не мега сложный.


Покапаюсь по вашим ссылкам.