Swego czasu zostałem poproszony o sprawdzenie, kto łączy się anonimowo do Receive Connector na serwerach Exchange z rolą HUB. Chciałem do tego użyć MessageTrackingLog zamiast parsować logi SMTP za pomocą LogParsera. Po analizie logów zauważyłem że wartość MessageInfo=00A: (w Exchange 2010: „00A: NTS:”) w logach MessageTracking oznacza że wiadomość została odebrana przez serwer HUB od nadawcy anonimowego.
Tak wygląda to na Exchange 2010:

 

Poniższy kod pozwolił mi wyświetlić adresy IP hostów wysyłających anonimowo wiadomości do 4 serwerów HUB:
$srv=”HUB1″,”HUB2″,”HUB3″,”HUB4″
$srv | get-messagetrackinglog | where {$_.MessageInfo -like „00A:*” -and $_.EventID -like „Receive” -and $_.Source -like „SMTP”} | group clientIP

Podczas analizy MessageTracking logów udało mi się stwierdzić jakie znaczenie mają inne wartość MessageInfo. Zaznaczam że poniższe informacje opierają się na moich testach oraz analizach i nie są potwierdzone przez żadne źródło Microsoft’owe ponieważ nie udało mi się takiego znaleźć:

Anonymous SMTP (np mail odebrany z Internetu) – 00A:
Uwierzytelnione SMTP (np mail wysłany z Outlook Express z uwierzytelnianiem dla SMTP) – 0aI:
Wiadomości wysłane pomiędzy serwerami (Exchange authentication) – 0cA:
Wiadomość wysłana z Outlooka 2003 i 2010 – 03I:
Wiadomość wysłana z OWA i Outlook 2007 – 04I:
Mail wysłany przez Exchange Server Recipient (mailbox is full) – 05I:
Wiadomości generowane przez serwer (NDR) – 0cI:

Reklamy