El sistema de correo electrónico está comprometido, ¿qué puede hacer?

Eso depende de varias cosas. Primero tienes que descubrir quién se ha ganado. Parece que alguien tiene una puerta trasera en algún lugar, la pregunta es ¿en qué extremo está?

A continuación, se muestran algunas cosas potenciales para verificar después de escanear cada máquina con su solución AV + Malwarebytes + También recomendaría combofix desde enlace como un tercer escaneo.

¿Su cliente ha realizado los mismos análisis para asegurarse de que no está en su final?

¿Qué servidores de correo electrónico se están utilizando actualmente en ambos extremos?

Veo algunas posibilidades si no se encuentran puertas traseras.

Sin cifrado durante la entrega del correo electrónico (debe ejecutar TLS)

Hay un topo con algún tipo de conexión (probablemente financiera) a las transacciones.

El correo electrónico del destinatario podría configurarse en su servidor de correo para reenviar automáticamente todo el correo a otra dirección de sus competidores.

Por último, si hay una red inalámbrica, deshabilite WPS y asegúrese de tener una nueva clave de cifrado WPA2 más fuerte.

Primero, marque la opción más fácil: ¿hay alguna regla de Outlook en la computadora de los remitentes que envíe una copia de cada correo electrónico enviado a otra persona?

En Outlook 2010, esto se encuentra en Reglas > Gestionar reglas y alertas

Ese tipo de regla es probablemente una regla solo para el cliente, lo que significa que solo funcionará cuando se use Outlook en esa computadora en particular para enviar correos electrónicos.

Como una herramienta de diagnóstico útil, haga que uno de los clientes envíe una copia (con encabezados completos) de los correos electrónicos con citas no solicitadas. Esto le permitirá saber qué compañías se están "beneficiando" de esta filtración. Si no son cautelosos, incluso podrían ser una copia del correo electrónico "filtrado" incluido, lo que facilitará mucho encontrar al culpable.

El problema es que el componente comprometido está en cualquier paso en el camino. Por ejemplo:

• Una estación de trabajo comprometida (o tal vez incluso todas)
• Un dispositivo ubicado estratégicamente en la red para interceptar el tráfico saliente
• Un servidor de correo electrónico comprometido
• Una regla de reenvío en la configuración de correo que envía tráfico al competidor
• Una fuga no técnica (como un empleado con un comportamiento deficiente)

La solución casi garantizada para trabajar es deshacerse de todo y volver a empezar. Y si pregunta en Internet, esa es casi siempre la respuesta que obtendrá. De lo contrario, deberá identificar la causa subyacente y resolverla.

Si un esfuerzo de diagnóstico dirigido está fuera de su rango de habilidades u opciones, entonces la solución popular es adivinar algo, solucionarlo y luego ver si el problema desaparece.

Aparte de las diversas respuestas técnicas aquí, también deben consultar a su abogado. La competencia puede estar cometiendo un delito grave en su jurisdicción; y puede haber remedios civiles también.