是否可以将已发送的出站电子邮件追溯到原点？

如果没有带有原始标题的电子邮件副本，这几乎是不可能追踪的。如果您有标头，您可以看到“已接收”标头并很快按照路径返回原点。如果没有通常的信息，最好的办法是查看 Exchange Server 日志以了解有问题的大致时间，以了解谁在发送邮件。如果您有某种消息审核日志记录，那么您可以在那里查看是否有任何“垃圾邮件”消息来自特定用户。

你怎么知道这个消息是通过你的交换服务器来的？如果工作站上安装了恶意软件并且您没有阻止出站 SMTP，则该恶意软件可能会直接建立 SMTP 连接，而不会触及您的 Exchange 服务器。您还可能有一个错误配置的代理或其他被用作中继的东西。

在我看来，传出 SMTP 应该在外围被阻止，除了你的邮件服务器。如果您还没有阻止 SMTP 并且您没有任何日志记录设置，那么您真的无法证明任何事情。网络中的任何计算机都可以与服务器建立 SMTP 连接。

如果您真的担心再次发生这种情况，那么您还可以在外围设备上设置日志记录，以至少记录任何端口 25 通信的第一个数据包。

电子邮件很容易伪造。您也完全有可能被阻止为垃圾邮件，并且该邮件根本不是来自您的网络。也许一些天真的系统管理员认为某些 SMTP 标头实际上是有效的，而实际上它们是伪造的。

由于您知道邮件的发送时间，因此您可以在邮件跟踪日志中找到一些信息。知道它被发送到哪个域也很有帮助。

您可以在 Exchange 服务器设置中找到日志的位置。

对于 Exchange 2007，在服务器配置下查看并获取 Exchange 服务器上的属性。然后检查日志设置选项卡，查看您的消息跟踪日志是否已启用。如果是这样，这将告诉您它的存储位置。

对于 Exchange 2003，您还可以在 Exchange 服务器上获得“属性”，但这次它应该位于“常规”选项卡下。

找到日志后，您应该能够在您怀疑的时间打开日志，并查看当时服务器上的活动。

您可以编写一个脚本来检查每个邮箱的每个发送项目文件夹作为交换...

您可以使用CDOEX 这是一个 COM 接口进行交换。

CDOEX 用于使用消息传递来发送和处理电子邮件、日历和联系信息的应用程序，以及允许以编程方式访问邮箱和公用文件夹的应用程序。请注意，CDOEX 只能从安装了 Exchange 的计算机上运行。

使用 VB 脚本，系统管理员可以检查所有这些文件夹。

但是您的程序员可能更喜欢 C#，因此您可以使用 OLE DB 接口ExOLEDB到 Exchange。微软甚至有一个使用 ADO的例子。

使用 ExOLEDB 的应用程序通常使用 SQL 查询从 Exchange 存储访问信息。ExOLEDB 可用于检索和操作用户有权访问的 Exchange 存储中的所有类型的数据。ExOLEDB 还提供对 Exchange 存储中的项目的全文搜索功能。

所以我猜有足够的选择。

了解邮件的大致时间和确切目的地，您可以过滤 Exchange 的日志以查找潜在嫌疑人。能否找到他取决于通过该交易所的流量。