1.這封信是不是"假裝成退信"的垃圾郵件?
答: 這封不是"假裝成退信"的垃圾郵件， 若是，它會將主旨改為像是無法投遞的，如:Undelivery.... 而且大半內容都是前面有無法投遞少部份的訊息，而後接著是廣告內容。

2.如果不是，那我們公司已經有被當成殭屍的電腦嗎?
答: 有可能被利用了，但您的HEADER是由您老闆寄來的，部份HAEADER訊息可能被MAIL CLIENT 過濾了。仍是建議您從MAILLOG中查，既然您是管理者，仍是建議您學習一下，可以將鳥哥網站讀讀。

若這台依預設RPM套件安裝，沒有去改SYSLOG等SERIVCE LOG模式，此MAIL LOG大都放在 /var/log 下，檔名為 maillog，而maillog.1 maillog.2等等，皆為稍早前的LOG。搭配 grep 指令來找，會比較快些。

先找到LOG，確定這封信件來源是否為內部IP，若來自內容則是。否則要小心您的MAIL SERVER 是否為OPEN RELAY。

3.真可以做到偽裝郵件寄件者嗎...? 我的意思是說，這封信是垃圾郵件，可是他的寄件者真的是我家的email?
答:若SERVER沒有做的嚴謹，真的可以偽裝，您若有需要，小弟可以偽裝一封...
因為從您提供的MAIL HEADER來看，我沒有看到貴司有開啟使用者寄信認證，所以，無從得知是否為貴司USER的帳號/密碼被猜到而被寄廣告信，此亦簡單的可以由廣告信件數量來判斷，若一天之內MAIL SERVER很忙碌且收到一堆廣告信往外傳，就可能被RELAY或帳號密碼被利用了。
Return-Path: <kcwennn@itri.org.tw>
X-Original-To: 老闆@xxxx.com.tw
Delivered-To: 老闆@xxxx.com.tw
Received: by xxxxx.com.tw (Postfix, from userid 505) id A06785B200; Mon, 17 Nov 2008 07:19:34 +0800 (CST)
Received: from localhost by mail.xxxxx.com.tw with SpamAssassin (version 3.2.4); Mon, 17 Nov 2008 07:19:34 +0800

您要看MAIL LOG，要從MAIL HEADER中的每列以RECEIVED開頭的最下方一個，往上查看，就可以知道它信件如何走的，依您此封，它是LOCALHOST收到給SPAMASSASSIN做檢查，再回丟給POSTFIX, 由USERID 505 (請檢查一卜USERID 505是哪個帳號) XXXXXX.com.tw (想必是貴司的DOMAIN NAME)

感覺仍是內部出了問題。

4. 關於您不會用linux，那您在webmin上看看有沒有spamassassin的模組，若沒有，手動安裝，您再看網路上文件做修正(像是加減分，改rules等等)或回應至此。

1. 這個SPAM軟體叫 SpamAssassin 版本 3.2.4，由於安裝設定的未制定是預設的。你可以到 /etc/spamassassin找.cf的檔案看看。

2. Return-Path: <kcwennn@itri.org.tw> 這是可以偽裝的。但是從這個header上看不太出來是否有殭屍電腦，或是有被入侵。

3. Received: from localhost by mail.xxxxx.com.tw with SpamAssassin (version 3.2.4); Mon, 17 Nov 2008 07:19:34 +0800 從這一行看起來發信的位置是從mail.xxxxx.com.tw同一部主機。建議從mail.log上去查。