Durante la semana pasada, el IDS de nuestra compañía ha estado bloqueando 100-200 correos electrónicos de invitación a reuniones por día de un cliente específico que están cargados con desbordamientos de búfer dirigidos a Exchange 2003. La carga útil es inofensiva para nosotros, pero la inundación de registros es molesta por decir lo menos He estado en contacto con el gerente de TI de la empresa cliente y se me ha asegurado que no hay registros de estos correos electrónicos provenientes de su servidor de correo; sin embargo, los ataques solo toman velocidad y provienen de más direcciones en su dominio todos los días. Nos parece bastante claro que hay una infección que se propaga a través de su dominio, pero mantienen que su sistema está limpio. Estamos razonablemente seguros de que no proviene de ninguna de nuestras máquinas porque los correos electrónicos se bloquean antes de que ingresen a nuestra red. Si los ataques realmente no se originan en ellos, ¿cómo podemos rastrear su origen? ¿O qué tipo de evidencia podemos reunir para demostrar que realmente proviene del cliente?