局域网内感染 邮件病毒，如何查找相应主机

xhy701

局域网内感染 邮件病毒，有没有办法通过这些所产生的病毒邮件查找出感染发送邮件的主机呢？

枫影谁用了

原帖由 xhy701 于 2006-1-4 15:48 发表
局域网内感染 邮件病毒，有没有办法通过这些所产生的病毒邮件查找出感染发送邮件的主机呢？

找到ip不就可以了嘛

xhy701

从哪里可以提取发送主机的ip呢？
邮件头部是否有相关的信息呢？

ippen

在邮件的属性中，邮件头部分有IP地址

思一克

如果邮件主机在外面网络，无法得到捣乱的机器IP。
可以在FIREWALL上看到。

xhy701

这是邮件头部信息：
Return-Path:<info@newmedical.com>
Received:from nqujpp.com ([222.66.54.6])
        by skstar.com.cn(8.11.6/8.11.6) with SMTP id k0472X107066;
        Wed, 4 Jan 2006 15:02:34 +0800
From:info@newmedical.com
To:emailserv297@skstar.com.cn
Date:Wed, 04 Jan 2006 06:51:37 GMT
Subject:=?gb2312?B?KMjw0MfTyrz+vOC/2Leiz9ayoba+KQ==?==?gb2312?B?KMjw0MfM4cq+LbTL08q8/r/JxNzKx8Csu/jTyrz+KQ==?=Your Password
Importance:Normal
X-Mailer:SpeedMail_V5.37
X-Priority:3 (Normal)
Message-ID:<f0b07596e.dbfa4fd3f@newmedical.com>
MIME-Version:1.0
Content-Type:multipart/mixed;
        boundary="==9dcaffbcbcf.ae"
Content-Transfer-Encoding:7bit
Status

看不到内网IP信息

枫影谁用了

原帖由 xhy701 于 2006-1-4 16:21 发表
这是邮件头部信息：
Return-Path:<info@newmedical.com>
Received:from nqujpp.com ([222.66.54.6])
        by skstar.com.cn(8.11.6/8.11.6) with SMTP id k0472X107066;
        Wed, 4 Jan 2006 1 ...

那你怎麼確定是內網出問題了？

ippen

原帖由 xhy701 于 2006-1-4 16:21 发表
MIME-Version:1.0
Content-Type:multipart/mixed;
        boundary="==9dcaffbcbcf.ae"
Content-Transfer-Encoding:7bit
Status

看不到内网IP信息

那就只有通过检查防火墙或者抓包检查了

xhy701

原帖由 枫影谁用了 于 2006-1-4 16:30 发表

那你怎麼確定是內網出問題了？

收到的垃圾邮件数量特别大，而且不在局域网内的部分用户就很少收到，也不太确定

xhy701

Received:from nqujpp.com ([222.66.54.6])
        by skstar.com.cn(8.11.6/8.11.6) with SMTP id k0472X107066;
        Wed, 4 Jan 2006 15:02:34 +0800
谁帮解释一下头的这部分的意思：222.66.54.6   skstar.com.cn 各是什么意思？
能确认：是由222.66.54.6 这台主机发送并由skstar.com.cn 接收的吗？

[ 本帖最后由 xhy701 于 2006-1-4 18:57 编辑 ]