Question

Buenas,

Tengo un Exchange 2010 y tengo la sospecha de que hay alguna cuenta que esta enviando correos masivos o spam, ya van 3 veces  las ip publicas caen en lista negra las cuales en los detalles siempre me aparece que es por spam, ya realice un operativo para limpiar todas las pc que tenían virus pero me sigue pasando lo mismo, esto es muy incomodo ya que los usuarios no pueden enviar correos a determinados dominios mientras se remueva de las listas negras.

Mi pregunta es si existe algun log, herramienta o comando de powershell para verificar cuales cuentas estan enviando mayor numero de correos,

Gracias de ante mano..!!

Answer 1

Hola, para trabajar los temas de reporting de Exchange te recomiendo usar LogParser.

Descárgalo:

http://www.microsoft.com/en-us/download/details.aspx?id=24659

 

Ejemplo de iniciación para lo que requieres:

connector-id : el nombre de tu conector de envío de mensajes haci ainternet.

FROM: ruta de tus logs de Tracking de Exchange

 

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT TOP 10 sender-address, Count(*) AS messagesSent INTO TopSenders.gif FROM 'D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking\MSGTRK*.log' WHERE recipient-status LIKE '250%%' AND connector-id='TU CONECTOR' GROUP BY sender-address ORDER BY messagesSent DESC" -chartType:BarClustered3D -i:CSV -nSkipLines:4 -values:ON -o:CHART -chartTitle:"TOP 10 DE ENVIO"

Esto te va a retornar los 10 usuarios que mas correo envían hacia internet (TOP 10).

Espero te sirva la información.

 

 

Answer 2

En realidad creo que debes realizar esta busqueda en tu firewall interno mas que en el exchange...pero si asi lo requieres puedes lanzar este comando

1- Get-MessageTrackingLog –Sender “your user’s name”

2 - Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2013 09:00:00" -End "03/15/2013 17:00:00" -Sender "john@contoso.com"

o puedes aplicar este script..

https://gist.github.com/wingdspur/4383416

Exitos