Il sistema di posta elettronica è compromesso - cosa puoi fare?

Questo dipende da diverse cose. Per prima cosa devi scoprire chi è diventato 0wned. Sembra che qualcuno abbia una backdoor da qualche parte, la domanda diventa la cui fine è su?

Di seguito sono riportati alcuni potenziali aspetti da controllare dopo aver scansionato ogni macchina con la tua soluzione AV + Malwarebytes + Vorrei anche consigliare combofix da link come terza scansione.

Il tuo cliente ha eseguito le stesse scansioni per assicurarsi che non sia sulla loro fine?

Quali server di posta elettronica vengono attualmente utilizzati su entrambe le estremità?

Vedo alcune possibilità se non vengono trovate backdoor.

Nessuna crittografia durante la consegna della posta elettronica (dovresti eseguire TLS)

C'è una talpa con qualche tipo di connessione (probabilmente finanziaria) alle transazioni.

L'email del destinatario potrebbe essere configurata sul proprio server di posta per inoltrare automaticamente tutta la posta a un altro indirizzo presso la concorrenza.

Infine, se c'è una rete wireless, disabilita il WPS e assicurati di avere una nuova chiave di crittografia WPA2 più strong.

Verifica prima l'opzione più semplice: c'è una regola di Outlook sul computer dei mittenti che sta inviando una copia di ogni e-mail inviata a qualcun altro?

In Outlook 2010 questo è in Regole > Gestisci regole e avvisi

Questo tipo di regola è probabilmente una regola solo client, il che significa che funzionerà solo quando Outlook su quel particolare computer viene usato per inviare email.

Come utile strumento diagnostico, chiedi a uno dei clienti di inviare una copia (con intestazioni complete) delle e-mail con citazioni non richieste. Questo ti permetterà di scoprire quali aziende stanno "approfittando" di questa perdita. Se non sono cauti, potrebbero anche essere una copia dell'email "trapelata" inclusa, che renderà molto più facile la ricerca del colpevole.

Il problema è che il componente compromesso in qualsiasi fase del processo. Ad esempio:

• Una workstation compromessa (o forse anche tutte)
• Un dispositivo posizionato strategicamente sulla rete per intercettare il traffico in uscita
• Un server di posta elettronica compromesso
• Una regola di inoltro nella configurazione della posta che invia traffico al concorrente
• Una perdita non tecnica (come un dipendente poco educato)

La soluzione quasi garantita per lavorare è buttare via tutto e ricominciare da capo. E se chiedi su Internet, è quasi sempre la risposta che otterrai. Altrimenti, dovrai identificare la causa sottostante e risolverla.

Se uno sforzo diagnostico diretto è al di fuori del tuo raggio di abilità o opzioni, allora la soluzione popolare è indovinare qualcosa, correggerla e poi vedere se il problema scompare.

Separati dalle varie risposte tecniche qui, dovrebbero anche consultare il loro avvocato. La competizione potrebbe comportare un grave reato penale nella tua giurisdizione; e potrebbero esserci anche rimedi civili.