iT邦幫忙

0

mail server 問題請教。

網站安全 垃圾郵件 伺服器 資訊安全 mail
s0341969 2014-01-27 11:29:027183 瀏覽

以下是一封造成我的mail server大量寄出垃圾信件的內容
我有去檢測過relay,並沒有被造成是跳板的狀況
但是常常會有這種信件是由我的mail server所寄出
而且每次這種信件都是假日才會狂寄。
mail.xxx.com.tw是我的mail server的主機名稱
請教各位先進,是什麼樣的狀況回造成這樣的問題呢?
我的user 密碼都是建立複雜的密碼,故被盜用密碼的問題可以排除。

Return-Path: postmaster@localhost.com
Received: from User ([50.192.252.85])
by mail.xxx.com.tw
; Sat, 25 Jan 2014 19:26:29 +0800
Message-ID: <2EA78BEF-470F-4772-8575-9BA28557829D@mail.xxx.com.tw>
Reply-To: <alxedwrdinvstdept@superposta.com>
From: "Dt Alex Murphy"<postmaster@localhost.com>
Subject: YOUR TRUE FUND INVESTIGATION
Date: Sat, 25 Jan 2014 06:25:50 -0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Old-X-EsetId: 3559E2318D4877432A5FE26380123219
X-EsetId: 3559E2318D4877432A5FE26380123219
X-EsetScannerBuild: 16803

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

5 個回答

8
michaelwan
iT邦高手 1 級 ‧ 2014-01-27 11:39:38

中毒,中馬木.

我的user 密碼都是建立複雜的密碼,故被盜用密碼的問題可以排除。

這是小弟今年聽過最有把握的一句話~

Ken(Bigcandy) iT邦大師 1 級 ‧ 2014-01-27 18:21:39 檢舉

michaelwan提到:
馬木

有這種木?毆飛

michaelwan iT邦高手 1 級 ‧ 2014-01-28 08:20:35 檢舉

臉紅臉紅臉紅
"木馬"

登入發表回應
6
darkslayer
iT邦好手 1 級 ‧ 2014-01-27 11:52:42

再複雜的密碼只要被知道就是最簡單的..
先看看是由哪個帳號發的信吧
不是去看發件者的帳號喔, 是要去看smtp的登入資料喔...

s0341969 iT邦新手 5 級 ‧ 2014-01-27 14:23:27 檢舉

s0341969提到:
alxedwrdinvstdept@superpos

謝謝您的回覆,不過就我的了解
他如果用我內部的某帳號發出
不是應該會留下由誰發出此信件的株私碼機嗎??

darkslayer iT邦好手 1 級 ‧ 2014-01-27 15:23:43 檢舉

這個e-mail 是收件者
發件者是 "Dt Alex Murphy"<postmaster@localhost.com>
不過這個e-mail 是可以偽造的, 所以要去看smtp的紀錄來判斷是用哪個帳號再寄送的.
前提是你的郵件主機在外送郵件時要有驗證才查的到

ayu iT邦好手 2 級 ‧ 2014-01-27 19:17:02 檢舉

他如果用我內部的某帳號發出
不是應該會留下由誰發出此信件的株私碼機嗎??

0)如果是spammer得知某帳號密碼,
透過帳號密碼驗證成功後就可以偽造任何身份寄信,
所以你要查的是maillog, 檔案可能很大不好查, 會辛苦一點.
垃圾信件mail header參考價值不高.
1)如果真是被當open-relay, 通常就是不分晝夜時段拼命狂寄, 很少會挑假日
2)superposta.com是騙局網站(scam site),
我覺得也有可能某個client被植入特定程式當僵屍.

登入發表回應
6
roylee
iT邦高手 1 級 ‧ 2014-01-27 14:03:14

這應該是某個user 密碼被知道了 所以才會狂發信

PS: 就算建立的密碼有複雜度,還是有可能被破解~~

登入發表回應
6
mwu4
iT邦新手 2 級 ‧ 2014-01-27 14:23:10

抱歉個人不是很瞭解,版主所提「一封造成我的mail server大量寄出垃圾信件的內容」的狀況為何?因看起來該封信係寄到版主的郵件伺服器(「Received: from User ([50.192.252.85]) by mail.xxx.com.tw」),而不是寄出去......
謝謝。

CalvinKuo iT邦大師 7 級 ‧ 2014-01-27 17:41:05 檢舉

這些信只是退信...
除非SMTP有大量的寄信Log,不然有可能只是某個郵件帳號被當作垃圾信的退信地址.....

hon2006 iT邦大師 1 級 ‧ 2014-01-28 11:07:21 檢舉

如果是 linux 就去查 maillog
如果是 exchange 就去查 exchange 的 log
http://www.msexchange.org/articles-tutorials/exchange-server-2003/monitoring-operations/Exchange-2003-Message-Tracking-Logging.html

登入發表回應
2
hcsvieken
iT邦研究生 4 級 ‧ 2014-01-29 08:24:24

s0341969提到:
X-Mailer: Microsoft Outlook Express 6.00.2600.0000

由這行來看應該是 用 Microsoft Outlook Express 寄出,所以密碼應胲已經外流了吧,而且ip還是國外的,先 drop 掉 ip 吧,並且如同其他大大說的查一下 log,尤其是pop的。

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙