[mwz]

akaAmigos, трояна схлопотал владелец ящика – и ящик стал звеном бот-сети.
Даже если после этого троян был удалён – утёкшие логин и пароль могут использоваться бот-сетью без ведома владельца ящика, причём с разных адресов, и необходимо менять пароль на ящик.
Владелец его ведь известен? Даже если нет – обычно в таких случаях ящик блокируют, а администратору, управляющему ящиками, направляют соответствующее уведомление о принятых [драконовских] мерах и причинах их применения.

Цитата akaAmigos:

якобы о неудавшихся посылках писем на какие то левые адреса. »

Не "якобы". Просто – о неудавшихся посылках писем на какие то левые адреса.

[akaAmigos]

к сожалению, тоже об этом думаю.
но проблема в том что, просто смена пароля не помогла.
более, того, на домашний комп я попасть не могу, пользователя, может оттуда все.
потому хочется найти письма, с какой сессии они, с какого айпи.

а то что это возможен взлом, спасибо за подсказку)

но хотелось бы по сути вопроса, ответ.

[mwz]

Цитата akaAmigos:

просто смена пароля не помогла. более, того, на домашний комп я попасть не могу, пользователя, может оттуда все. потому хочется найти письма, с какой сессии они, с какого айпи. »

Всё же я считаю что вы не туда копаете. Посмотрите служебные заголовки отправляемых сообщений, типа:

читать дальше »

Код:

Delivered-To: YYYYYYYYY@gmail.com
Received: by 10.140.146.16 with SMTP id 16csp511908qhs;
        Thu, 11 Sep 2014 01:31:04 -0700 (PDT)
X-Received: by 10.112.170.138 with SMTP id am10mr44787522lbc.74.1410424264088;
        Thu, 11 Sep 2014 01:31:04 -0700 (PDT)
Return-Path: <root@new.XXXXXXXXXX.ru>
Received: from XXXXXXXXXX.ru (XXXXXXXXXX.ru. [89.188.104.80])
        by mx.google.com with ESMTP id eg2si268723lbb.97.2014.09.11.01.31.03
        for <YYYYYYYYY@gmail.com>;
        Thu, 11 Sep 2014 01:31:04 -0700 (PDT)
Received-SPF: none (google.com: root@new.XXXXXXXXXX.ru does not designate permitted sender hosts) client-ip=89.188.104.80;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: root@new.XXXXXXXXXX.ru does not designate permitted sender hosts) smtp.mail=root@new.XXXXXXXXXX.ru
Received: by XXXXXXXXXX.ru (Postfix, from userid 0)
        id 3EBBE21085E6; Thu, 11 Sep 2014 12:31:03 +0400 (MSK)
To: YYYYYYYYY@gmail.com
Subject: =?utf-8.....................==?=
X-PHP-Originating-Script: 1000:names.php
From: XXXXXXXXXX <no-reply@XXXXXXXXXX.ru>
Reply-To: no-reply@XXXXXXXXXX.ru
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Message-Id: <20140911083103.3EBBE21085E6@XXXXXXXXXX.ru>
Date: Thu, 11 Sep 2014 12:31:03 +0400 (MSK)

где фиксируются как IP отправителя, так и все промежуточные точки (сервера), через которые прошло письмо. Ну получите вы сотню абсолютно разных IP, из Малайзии, Сингапура, Бразилии? Что вам это даст? Да и возможна подделка адреса отправителя.

А вот то, что смена пароля не помогла – это фактически прямое указание на то, что у владельца ящика на том компьютере, куда вы попасть не можете, сидит троян, и пока он не будет уничтожен – ящик будет продолжать быть частью бот-сети. И надо блокировать его ящик до принятия им мер ("Нарушение правил предоставления услуг" – у нас так провайдер один ящик, пользователь которого в другом городе, прикрыл: именно с этой формулировкой и с изложенными рекомендациями. Подключились по Тимвьюеру, нашли бяку, удалили, сообщили провайдеру, сменили пароль).

PS
И пароль на ящик вообще не должен быть таким, который подбирается за одну минуту подбором по словарям вроде вот этого – типа qwerty, 111111 и т.д.

PPS
И взгляните
http://exchangeserverpro.com/exchang...sage-tracking/
http://sysadmins.ru/topic346173.html
и вообще http://yandex.ru/yandsearch?text=%D0...xchange%202010
и http://yandex.ru/yandsearch?text=%D0...xchange%202010
– может быть там на исходный вопрос что есть.

[akaAmigos]

-->>> to mwz:

Доброго дня!
я имел ввиду, что если будет внутренний IP адрес, то все понятно. если же внешний, то это тоже внесет некоторую ясность. Во всяком случае можно будет исключить внутренние машины.


Что касается, "тот компьютер, который дома", говорят что нет больше ни где не используется этот логинпароль от ящика.
остается только один внутренний компьютер. Но его проверили двумя разными антивирями, и они ничего не нашли.
Переустанавливать ради этого систему, не вариант.
Но ноги так и не найдены((
Пароль не простой, но и не мега сложный.


Покапаюсь по вашим ссылкам.