安全问答:如何追查恶意邮件真凶

2018-06-23    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

问:我们公司有个局域网,网内有近百台机子,每一位员工都有自己的登录账号和密码,同时每个人都有以自己名字全拼为前缀的邮箱,在OUTLOOK里面设置好就可以收发邮件了。

前一段时间,员工A的邮箱里收到了员工B邮箱发来的邮件,是一句骂人的话。根据公司网络服务器显示,该邮件发送的时间里,员工B不在办公室内,没有发送邮件的时间。同时显示该邮件的发送IP地址并不是员工B常用的电脑IP,而是另外一台电脑的IP:192.168.1.40,此电脑的操作者在骂人邮件发送时间前后一直在正常工作。因此公司认定,IP地址为192.168.1.40的电脑操作员工就是邮件的发送人,并要对该员工进行惩罚。

我想问的就是,如果公司内某员工拥有自己所使用电脑的本机管理员权限,他有没有暂时指定自己的IP地址和计算机名并盗用其他员工邮箱密码任意发送邮件的可能?

另外公司在近一段时间里,内部邮箱经常收到一些病毒邮箱,都是内部员工以re开头,这是不是也说明公司的局域网有很大的安全隐患?

答:尽管从常理来看,公司的说法没有错,但是公司的判断还是有很大的漏洞。首先,根据邮件发送时间以及员工不在场时间来结合判断就不够合理,因为可以定时发送的Email软件有很多,甚至配合一些定时操作软件也可以实现。至于IP地址的判断,如果员工的IP地址是根据DHCP服务器分配,那么完全有网管变动的可能性。

此外,根据你的描述,公司服务器可能存在病毒,那么一些后门程序完全可能在后台控制这台电脑,在所有者不知情的情况下发送邮件,因此IP地址的判断方法也不够科学。更为重要的是,邮件发送者也可以通过一些“黑客软件”伪装IP,这些软件曾经被垃圾邮件制造者滥用,因此从技术角度讲并不是很难实现,因此可能性也是非常之大。

最后,这类问题还应该根据你们公司网络的拓扑结构以及日志来结合判断,细节方面的因素有时可能更为重要。如果公司因为这个现象而处罚“发送邮件IP电脑所有者”,是不客观的,因为显示的“邮件发送IP”并不能作为确实证据,并没有太大意义。

标签: 安全 服务器 公司服务器 漏洞 权限 网络 网络服务器

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:CCERT中文垃圾邮件过滤规则集

下一篇:让你的客户端轻松些 自动拒绝垃圾邮件