锁定嫌疑范围:员工作乱?还是病毒搞鬼?
协议分析人员到达现场,了解基本状况后,初步经验性问题判断为:
1)内部员工故意作乱,但是由于在网管人员检查的时候停止发送垃圾电子邮件,因此网管人员无法检查出这个问题。
2)某种病毒感染内网用户,造成局部/定时垃圾邮件传输
3)其他非常见性原因
需要获取的进一步信息是,1) Internet链路通讯情况 2) 内网用户通讯情况
用户互联网连接拓扑比较简单:内部用户不能直接穿越网关,所有用户通过边界代理服务器进行互联网连接, 代理服务器主要提供HTTP服务的通道。
采用OmniPeek连接Internet链路进行捕获分析,发现所有流量状况比较普通,没有特异现象。
图1:
我们对Internet链路上的SMTP协议通讯进行捕获,过滤出一个单独邮件通讯以后,我们看到:
图2:
发件人和收件人都不是这个用户的域名范围之内,而且尤其奇怪的是,这些垃圾邮件并非从Internet流入用户网络,反而是从用户网关(代理服务器)10.99.1.4往互联网地址进行传输。因为事先确认了代理服务器不对任何外部用户开放SMTP 25端口服务,所以似乎只可能是内部用户正在向外发送垃圾邮件。
但是用户网络管理人员提出,所有内部用户邮件传输均必须通过内部邮件服务器发送,并不能直接通过代理服务器,仅仅邮件服务器能够直接对外以SMTP方式连接,同时基于之前用户排除故障过程中特别加入了防中继保护和内部用户发件人地址身份的限制,内部邮件服务器也不会发送发件人非本域名的邮件。经过协议分析人员现场的分析检验,实际情况确实如此。
那么这些垃圾邮件的来源就成了奇怪的现象,既不能从外部进入SMTP,也不会从内部出去不合法的SMTP,代理服务器自身经过病毒/进程检查也没有任何问题。那么这封垃圾邮件源头到底是在哪里呢?