科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全问答:如何追查恶意邮件真凶

安全问答:如何追查恶意邮件真凶

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果公司因为这个现象而处罚“发送邮件IP电脑所有者”,是不客观的,因为显示的“邮件发送IP”并不能作为确实证据,并没有太大意义。

作者:中国IT实验室 2007年8月19日

关键字: IP地址 邮件发送 发送邮件 邮箱

  • 评论
  • 分享微博
  • 分享邮件

  问:我们公司有个局域网,网内有近百台机子,每一位员工都有自己的登录账号和密码,同时每个人都有以自己名字全拼为前缀的邮箱,在OUTLOOK里面设置好就可以收发邮件了。

前一段时间,员工A的邮箱里收到了员工B邮箱发来的邮件,是一句骂人的话。根据公司网络服务器显示,该邮件发送的时间里,员工B不在办公室内,没有发送邮件的时间。同时显示该邮件的发送IP地址并不是员工B常用的电脑IP,而是另外一台电脑的IP:192.168.1.40,此电脑的操作者在骂人邮件发送时间前后一直在正常工作。因此公司认定,IP地址为192.168.1.40的电脑操作员工就是邮件的发送人,并要对该员工进行惩罚。

我想问的就是,如果公司内某员工拥有自己所使用电脑的本机管理员权限,他有没有暂时指定自己的IP地址和计算机名并盗用其他员工邮箱密码任意发送邮件的可能?

另外公司在近一段时间里,内部邮箱经常收到一些病毒邮箱,都是内部员工以re开头,这是不是也说明公司的局域网有很大的安全隐患?

答:尽管从常理来看,公司的说法没有错,但是公司的判断还是有很大的漏洞。首先,根据邮件发送时间以及员工不在场时间来结合判断就不够合理,因为可以定时发送的Email软件有很多,甚至配合一些定时操作软件也可以实现。至于IP地址的判断,如果员工的IP地址是根据DHCP服务器分配,那么完全有网管变动的可能性。

此外,根据你的描述,公司服务器可能存在病毒,那么一些后门程序完全可能在后台控制这台电脑,在所有者不知情的情况下发送邮件,因此IP地址的判断方法也不够科学。更为重要的是,邮件发送者也可以通过一些“黑客软件”伪装IP,这些软件曾经被垃圾邮件制造者滥用,因此从技术角度讲并不是很难实现,因此可能性也是非常之大。

最后,这类问题还应该根据你们公司网络的拓扑结构以及日志来结合判断,细节方面的因素有时可能更为重要。如果公司因为这个现象而处罚“发送邮件IP电脑所有者”,是不客观的,因为显示的“邮件发送IP”并不能作为确实证据,并没有太大意义。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章