como ver trafico de correos en una red?

[Maitro...]

Buenas Compeñeros,

Vengo a exponerles un problema que tengo, para ver que sugerencias me pueden dar

sucede que misteriosamente una(s) de las computadoras de la red me esta mandado SPAM atravez de correo, al parecer tiene algún virus o algo parecido. Debido a ese trafico me esta mandando a la lista negra las IPs publicas, impidiendo así el envío de correos

Contacte la empresa que nos da el servicio de correo, para solicitarles cual de todas las cuentas de correo estaba generando el trafico, pero los muy maletas dicen no poder hacer nada, y me sugirieron instalar un analizador de trafico en la red, para que yo detecte cual de todas las maquinas me esta generando ese trafico.

Por lo cual pregunto: ¿Como puedo detectar cual(es) maquina(s) me están haciendo el trafico?

Sistema operativo: Win XP
Cliente de Correo: Outlook Express y en otras Thunderbird

Ahorita estoy intentando con Wireshark y NetworkMiner, pero no se que es lo que tengo que buscar ahí.

Muchas Gracias por darse una vuelta por mi tema, espero sus comentarios

[vlad]

Si no son muchas maquinas pone un firewall como OutPost en cada una y cada vez que un programa trata de usar la red, OutPost te va a preguntar primero si esta bien que el programa X lo haga.

Ahi podes detectar si alguna aplicación con nombre raro salta de repente.

[rdoggsv]

A que tipo de switch llegan todas las máquinas ? Es un switch pajarraco o es medio administrable ??

Será que tiene por ahí una su función de port mirroring / monitor / etc, para que logres ver el tráfico de todas las maquinas.

La solución que vlad te pone es muy buena pero si son una cantidad grande de máquinas te va a llevar la legión estarle instalando a todas el software :P

[Maitro...]

Son como 40 maquinas esta medio jodido ir de una en una, pero al mas o haber ni modo esa sera una posible solución.

Un Switch administrable me seria de gran ayuda, pero desgraciadamente no me aprobaron la compra de este, por lo tanto tengo un pajarraco

[rcguillen]

de igual forma si alguien envia spam posiblemente esta usando el puerto 25, de lo  q te han dicho anteriormente chequea el trafico para este puerto.!!

Y no se si no lei bien...pero con q compartes internet? por medio de q navegan?
es algun proxy? directamente?..como? y asi para ver mas o menos desde donde podrias rastrear el trafico

[Maitro...]

Y no se si no lei bien...pero con q compartes internet? por medio de q navegan?
es algun proxy? directamente?..como? y asi para ver mas o menos desde donde podrias rastrear el trafico

salen a Internet directamente, no hay nada mas.

Ya que lo mencionas bien podría poner algún proxy aunque sea temporal para poder salir de este clavo, aunque no estoy muy al día de como hacer este rastreo, pero con un par de links podria aprender

[ELITE]

Pues el Wireshark te analiza bien la red y lo que tenes que hacer con el es ver los colores que te muestra a la hora de escanear la red.

El Wireshark  es uno de los mejores Scannig que he usado y si kieres saber como interpretar los colores de los protocolos usados de tu red en un determinado momento te aconsejo ver estos analicis Click Here

Con el Wireshark podes ver el trafico de tu red y verificar de que ip estan saliendo los paquetes (correos en tu caso) y hacia donde van y ahi seguis con lo demas 


Ve esto tambien

[youtube]http://www.youtube.com/watch?v=O1JMQfbHFaI[/youtube]