安全問答：如何追查惡意郵件真兇

第第頁安全問答：如何追查惡意郵件真兇安全問答：如何追查惡意郵件真兇

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

問:我們公司有個(gè)局域網(wǎng)，網(wǎng)內(nèi)有近百臺(tái)機(jī)子，每一位員工都有自己的登錄賬號(hào)和密碼，同時(shí)每個(gè)人都有以自己名字全拼為前綴的郵箱，在OUTLOOK里面設(shè)置好就可以收發(fā)郵件了。前一段時(shí)間，員工A的郵箱里收到了員工B郵箱發(fā)來的郵件，是一句罵人的話。根據(jù)公司網(wǎng)絡(luò)

問:我們公司有個(gè)局域網(wǎng)，網(wǎng)內(nèi)有近百臺(tái)機(jī)子，每一位員工都有自己的登錄賬號(hào)和密碼，同時(shí)每個(gè)人都有以自己名字全拼為前綴的郵箱，在OUTLOOK里面設(shè)置好就可以收發(fā)郵件了。

前一段時(shí)間，員工A的郵箱里收到了員工B郵箱發(fā)來的郵件，是一句罵人的話。根據(jù)公司網(wǎng)絡(luò)服務(wù)器顯示，該郵件發(fā)送的時(shí)間里，員工B不在辦公室內(nèi)，沒有發(fā)送郵件的時(shí)間。同時(shí)顯示該郵件的發(fā)送IP地址并不是員工B常用的電腦IP，而是另外一臺(tái)電腦的IP:192.168.1.40，此電腦的操在罵人郵件發(fā)送時(shí)間前后一直在正常工作。因此公司認(rèn)定，IP地址為192.168.1.40的電腦操作員工就是郵件的發(fā)送人，并要對該員工進(jìn)行懲罰。

我想問的就是，如果公司內(nèi)某員工擁有自己所使用電腦的本機(jī)管理員權(quán)限，他有沒有暫時(shí)指定自己的IP地址和計(jì)算機(jī)名并盜用其他員工郵箱密碼任意發(fā)送郵件的可能?

另外公司在近一段時(shí)間里，內(nèi)部郵箱經(jīng)常收到一些病毒郵箱，都是內(nèi)部員工以re開頭，這是不是也說明公司的局域網(wǎng)有很大的安全隱患?

答:盡管從常理來看，公司的說法沒有錯(cuò)，但是公司的判斷還是有很大的漏洞。首先，根據(jù)郵件發(fā)送時(shí)間以及員工不在場時(shí)間來結(jié)合判斷就不夠合理，因?yàn)榭梢远〞r(shí)發(fā)送的Email軟件有很多，甚至配合一些定時(shí)操作軟件也可以實(shí)現(xiàn)。至于IP地址的判斷，如果員工的IP地址是根據(jù)DHCP服務(wù)器分配，那么完全有網(wǎng)管變動(dòng)的可能性。

此外，根據(jù)你的描述，公司服務(wù)器可能存在病毒，那么一些后門程序完全可能在后臺(tái)控制這臺(tái)電腦，在所有者不知情的情況下發(fā)送郵件，因此IP地址的判斷方法也不夠科學(xué)。更為重要的是，郵件發(fā)送者也可以通過一些“黑客軟件”偽裝IP，這些軟件曾經(jīng)被垃圾郵件制造者濫用，因此從技術(shù)角度講并不是很難實(shí)現(xiàn)，因此可能性也是非常之大。

最后，這類問題還應(yīng)該根據(jù)你們公司網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及日志來結(jié)合判斷，細(xì)節(jié)方面的因素有時(shí)可能更為重要。如果公司因?yàn)檫@個(gè)現(xiàn)象而處罰“發(fā)送郵件IP電腦所有者”，是不客觀的，因?yàn)轱@示的“郵件發(fā)送IP”并不能作為確實(shí)證據(jù)，并沒有太大