iT邦幫忙

0

mail server的帳號盜用

不好意思
最近接任一個freebsd上架設postfix的mail server
有一位用戶反應說他帳號收到幾萬封垃圾信件
有查詢過可能為帳號盜用情況
目前是暫時更改帳號密碼
另外採用
http://blog.xuite.net/tolarku/blog/81551578
所提到的狀況二來進行刪除
也請使用者將電腦重灌(懷疑可能為使用者電腦中毒)
確實也沒有在收到垃圾信件

可以請問一下目前這樣的步驟安全了嗎?
另外可以請問一下要如何查到帳號盜用狀況?

謝謝

退信攻擊?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

2
enen1980
iT邦研究生 1 級 ‧ 2014-09-25 09:58:04
最佳解答

1.) 在FIREWALL BLOCK 發信DOMAIN/IP 吧~~
2.) 向你的ISP 報告

6
aeolus0829
iT邦研究生 4 級 ‧ 2014-09-24 16:27:23

樓上說的很有可能

不過幾萬封的退信攻擊也太可觀了點
我想應該不是一下子收到數萬封吧?(考量頻寬和機器扛的住的問題)

值的注意的是,寄垃圾信給使用者並不需要他的帳號密碼,因此帳密外洩比較不用擔心
比較有可能是他在外面論壇還是抓東西時,到處留自己的email帳號,才會讓有心人蒐集到,這個行為是比較值得擔心的
這表示類似的事情仍然很可能會發生
若以後再發生,就請使用者換 email 吧

Undelivered Mail Returned to Sender 可以從 /var/log/mail.log (位置和檔名視 distro 而定)
隨便抓一封和使用者有關的信,然後用 MAIL ID 去看一下,可能會看到有趣的東西,也有可能是 USER 的電腦中毒,一直在狂發信
Sep 24 16:12:38 lnx02 postfix/smtpd[22738]: A48B311E6B: client=unknown[49.90.36.253]
Sep 24 16:12:39 lnx02 postfix/cleanup[22746]: A48B311E6B: message-id=<pyofntxewxb.fncqtzxjiug513josdm@ms18.hinet.net>
Sep 24 16:12:39 lnx02 postfix/qmgr[1829]: A48B311E6B: from=<0013dpzm@ms81.hinet.net>, size=1447, nrcpt=1 (queue active)
Sep 24 16:12:42 lnx02 postfix/smtp[22747]: A48B311E6B: to=<user.name@yourdomain.com>, relay=192.168.0.5[192.168.0.5]:25, delay=3.8, delays=1.4/0/0/2.4, dsn=2.6.0, status=sent (250 2.6.0 <pyofntxewxb.fncqtzxjiug513josdm@ms18.hinet.net> [InternalId=719788] Queued mail for delivery)
Sep 24 16:12:42 lnx02 postfix/qmgr[1829]: A48B311E6B: removed

hon2006 iT邦大師 1 級 ‧ 2014-09-25 09:52:59 檢舉

一般的使用者根本搞不清楚垃圾信和退信的差別,
可以裝pflogsumm統計每天的信件
http://kukublog.blog.hexun.com/14820695_d.html
https://www.linode.com/docs/email/postfix/pflogsumm-for-postfix-monitoring-on-centos-6

我要發表回答

立即登入回答