Отслеживание IP и физического адреса машины, отправляющей сообщение электронной почты

Моя организация использует службы электронной почты Google для создания учетных записей электронной почты и управления ими. Недавно нежелательное электронное письмо было отправлено с идентификатора Gmail (предположительно поддельной учетной записи, созданной специально для этой цели) на многие адреса электронной почты нашей организации.
Можем ли мы отследить IP-адрес (как локальный, так и общедоступный) и MAC-адрес машины, с которой было отправлено это электронное письмо? Мы подозреваем, что эта деятельность происходила внутри организации. У меня есть доступ к нашему почтовому серверу.

Возможно, Получили заголовки показывают IP-адрес клиента. Полученные заголовки добавляются вверху, поэтому самый верхний — самый новый. Сервер находится в общедоступной сети, поэтому он может регистрировать только общедоступный адрес клиента. Однако большинство интернет-провайдеров больше не включают IP-адреса клиентов в заголовок Received из соображений конфиденциальности. Вы также можете запросить у Google подробности из их журнала, но я не уверен, что они это сделают.

MAC-адреса никогда не включаются ни в какие заголовки, так что это не сработает.

Если почта пришла из вашей сети и вы правильно регистрируете сведения о соединении, тогда может быть шанс точно определить источник. Извлеките точную отметку времени входа из соответствующего заголовка Received (самый низкий = самый старый, в котором упоминается сервер gmail). С этой отметкой времени проверьте журналы брандмауэра на предмет доступа пользователя к gmail через SMTP. Если пользователи делают это с использованием HTTPS, вам потребуются подробные журналы, требующие проверки SSL.

Боюсь, если вам не хватает чего-либо из вышеперечисленного, найти источник невозможно.