我的老闆轉了這封信給我看。
(我把老闆的e-mail addr 改成用"老闆@xxxx.com.tw"表示)
寄件人: <老闆@xxxx.com.tw>
日期: 2008年11月17日 上午07時19分27秒
收件人: <老闆@xxxx.com.tw>
標題: [垃圾郵件] RE:em.Doctor Claudia
Return-Path: <kcwennn@itri.org.tw>
X-Original-To: 老闆@xxxx.com.tw
Delivered-To: 老闆@xxxx.com.tw
Received: by xxxxx.com.tw (Postfix, from userid 505) id A06785B200; Mon, 17 Nov 2008 07:19:34 +0800 (CST)
Received: from localhost by mail.xxxxx.com.tw with SpamAssassin (version 3.2.4); Mon, 17 Nov 2008 07:19:34 +0800
Message-Id: <20081116231927.84A935B1F0@xxxxx.com.tw>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on mail.xxxxx.com.tw
X-Spam-Level: *************
X-Spam-Status: Yes, score=13.4 required=4.0 tests=BAYES_50,HTML_IMAGE_ONLY_28, HTML_IMAGE_RATIO_04,HTML_MESSAGE,MIME_HTML_ONLY,MONEY_BACK,RCVD_IN_PBL, RCVD_IN_SORBS_DUL,RDNS_NONE,URIBL_AB_SURBL,URIBL_BLACK,URIBL_JP_SURBL, URIBL_OB_SURBL,URIBL_RHS_DOB,URIBL_SC_SURBL autolearn=spam version=3.2.4
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_4920AA86.B3882073"
Status: O
X-Uid: 26012
Content-Length: 6387
----以下省略
我們的SPAM軟體掃到,會在主旨前面加上"[垃圾郵件]"。
上面這封就是>> 標題: [垃圾郵件] RE:em.Doctor Claudia
(因為貼不下,原始檔垃圾郵件在下面連結
http://eddiesu.blogspot.com/2008/11/blog-post_16.html)
其實這封信,已經被SPAM軟體過濾出來,知道是垃圾郵件,沒甚麼大問題。
是想請教
1.這封信是不是"假裝成退信"的垃圾郵件?
Return-Path: <kcwennn@itri.org.tw>
X-Original-To: 老闆@xxx.com.tw
Delivered-To: 老闆@xxx.com.tw
2.如果不是,那我們公司已經有被當成殭屍的電腦嗎?
3.真可以做到偽裝郵件寄件者嗎...? 我的意思是說,這封信是垃圾郵件,可是他的寄件者真的是我家的email?
4.小弟至目前都還不會用Linux :p
我目前只知道我們是用cent os, 我目前開帳號都在webmin上開。
請問這個SPAM軟體叫甚麼名字? 要在哪裡(設定檔的路徑?)調整他的設定?
1.這封信是不是"假裝成退信"的垃圾郵件?
答: 這封不是"假裝成退信"的垃圾郵件, 若是,它會將主旨改為像是無法投遞的,如:Undelivery.... 而且大半內容都是前面有無法投遞少部份的訊息,而後接著是廣告內容。
2.如果不是,那我們公司已經有被當成殭屍的電腦嗎?
答: 有可能被利用了,但您的HEADER是由您老闆寄來的,部份HAEADER訊息可能被MAIL CLIENT 過濾了。仍是建議您從MAILLOG中查,既然您是管理者,仍是建議您學習一下,可以將鳥哥網站讀讀。
若這台依預設RPM套件安裝,沒有去改SYSLOG等SERIVCE LOG模式,此MAIL LOG大都放在 /var/log 下,檔名為 maillog,而maillog.1 maillog.2等等,皆為稍早前的LOG。搭配 grep 指令來找,會比較快些。
先找到LOG,確定這封信件來源是否為內部IP,若來自內容則是。否則要小心您的MAIL SERVER 是否為OPEN RELAY。
3.真可以做到偽裝郵件寄件者嗎...? 我的意思是說,這封信是垃圾郵件,可是他的寄件者真的是我家的email?
答:若SERVER沒有做的嚴謹,真的可以偽裝,您若有需要,小弟可以偽裝一封...
因為從您提供的MAIL HEADER來看,我沒有看到貴司有開啟使用者寄信認證,所以,無從得知是否為貴司USER的帳號/密碼被猜到而被寄廣告信,此亦簡單的可以由廣告信件數量來判斷,若一天之內MAIL SERVER很忙碌且收到一堆廣告信往外傳,就可能被RELAY或帳號密碼被利用了。
Return-Path: <kcwennn@itri.org.tw>
X-Original-To: 老闆@xxxx.com.tw
Delivered-To: 老闆@xxxx.com.tw
Received: by xxxxx.com.tw (Postfix, from userid 505) id A06785B200; Mon, 17 Nov 2008 07:19:34 +0800 (CST)
Received: from localhost by mail.xxxxx.com.tw with SpamAssassin (version 3.2.4); Mon, 17 Nov 2008 07:19:34 +0800
您要看MAIL LOG,要從MAIL HEADER中的每列以RECEIVED開頭的最下方一個,往上查看,就可以知道它信件如何走的,依您此封,它是LOCALHOST收到給SPAMASSASSIN做檢查,再回丟給POSTFIX, 由USERID 505 (請檢查一卜USERID 505是哪個帳號) XXXXXX.com.tw (想必是貴司的DOMAIN NAME)
感覺仍是內部出了問題。
這個SPAM軟體叫 SpamAssassin 版本 3.2.4,由於安裝設定的未制定是預設的。你可以到 /etc/spamassassin找.cf的檔案看看。
Return-Path: <kcwennn@itri.org.tw> 這是可以偽裝的。但是從這個header上看不太出來是否有殭屍電腦,或是有被入侵。
Received: from localhost by mail.xxxxx.com.tw with SpamAssassin (version 3.2.4); Mon, 17 Nov 2008 07:19:34 +0800 從這一行看起來發信的位置是從mail.xxxxx.com.tw同一部主機。建議從mail.log上去查。