Захват SMTP-трафика в течение длительного периода времени
В нашей сети есть SMTP-ретранслятор (просто XP-коробка с SMTP). Он болтается, потому что некоторые старые приложения использовали его, поэтому отправляли электронные письма из кода.
Он едва получает трафик, я вижу из журнала SMTP, что он используется только каждые несколько дней, если это так.
Прежде чем отключить его, я хочу отследить, откуда приходят электронные письма (я вижу исходный сервер, но хочу видеть заголовок SMTP, чтобы получить отправителя, получателя и, если возможно, тело).
Как я могу сделать это в течение длительного периода времени? Я думал о Wireshark, но планирую оставить его работать в течение нескольких недель. Это управляемо или есть лучшее решение?
2 ответа
Я понятия не имею о wireshark + windows, но, используя linux + tcpdump (почти эквивалентно тому, что я слышал), у меня не было проблем с захватом трафика в течение нескольких дней при условии, что:
- Достаточно места на диске
- Не много трафика
- Порт (25) указан так, чтобы захваты не становились слишком большими.
Я знаю, что ты сказал, что нет проволочной акулы, но я думаю, что ты должен просто добавьте фильтры захвата к вашим конкретным адресам, с которых вы знаете, что электронная почта исходит. Вы также можете попытаться захватить только X байтов, чтобы просто попытаться получить заголовок. проверить - захватить фильтры