iT邦幫忙

0

以下是一封造成我的mail server大量寄出垃圾信件的內容
我有去檢測過relay,並沒有被造成是跳板的狀況
但是常常會有這種信件是由我的mail server所寄出
而且每次這種信件都是假日才會狂寄。
mail.xxx.com.tw是我的mail server的主機名稱
請教各位先進,是什麼樣的狀況回造成這樣的問題呢?
我的user 密碼都是建立複雜的密碼,故被盜用密碼的問題可以排除。

Return-Path: postmaster@localhost.com
Received: from User ([50.192.252.85])
by mail.xxx.com.tw
; Sat, 25 Jan 2014 19:26:29 +0800
Message-ID: <2EA78BEF-470F-4772-8575-9BA28557829D@mail.xxx.com.tw>
Reply-To: <alxedwrdinvstdept@superposta.com>
From: "Dt Alex Murphy"<postmaster@localhost.com>
Subject: YOUR TRUE FUND INVESTIGATION
Date: Sat, 25 Jan 2014 06:25:50 -0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Old-X-EsetId: 3559E2318D4877432A5FE26380123219
X-EsetId: 3559E2318D4877432A5FE26380123219
X-EsetScannerBuild: 16803

8
michaelwan
iT邦高手 1 級 ‧ 2014-01-27 11:39:38

中毒,中馬木.

我的user 密碼都是建立複雜的密碼,故被盜用密碼的問題可以排除。

這是小弟今年聽過最有把握的一句話~

michaelwan提到:
馬木

有這種木?毆飛

臉紅臉紅臉紅
"木馬"

6
darkslayer
iT邦好手 1 級 ‧ 2014-01-27 11:52:42

再複雜的密碼只要被知道就是最簡單的..
先看看是由哪個帳號發的信吧
不是去看發件者的帳號喔, 是要去看smtp的登入資料喔...

s0341969 iT邦新手 5 級 ‧ 2014-01-27 14:23:27 檢舉

s0341969提到:
alxedwrdinvstdept@superpos

謝謝您的回覆,不過就我的了解
他如果用我內部的某帳號發出
不是應該會留下由誰發出此信件的株私碼機嗎??

這個e-mail 是收件者
發件者是 "Dt Alex Murphy"<postmaster@localhost.com>
不過這個e-mail 是可以偽造的, 所以要去看smtp的紀錄來判斷是用哪個帳號再寄送的.
前提是你的郵件主機在外送郵件時要有驗證才查的到

ayu iT邦好手 5 級 ‧ 2014-01-27 19:17:02 檢舉

他如果用我內部的某帳號發出
不是應該會留下由誰發出此信件的株私碼機嗎??

0)如果是spammer得知某帳號密碼,
透過帳號密碼驗證成功後就可以偽造任何身份寄信,
所以你要查的是maillog, 檔案可能很大不好查, 會辛苦一點.
垃圾信件mail header參考價值不高.
1)如果真是被當open-relay, 通常就是不分晝夜時段拼命狂寄, 很少會挑假日
2)superposta.com是騙局網站(scam site),
我覺得也有可能某個client被植入特定程式當僵屍.

6
roylee
iT邦高手 1 級 ‧ 2014-01-27 14:03:14

這應該是某個user 密碼被知道了 所以才會狂發信

PS: 就算建立的密碼有複雜度,還是有可能被破解~~

6
mwu4
iT邦新手 2 級 ‧ 2014-01-27 14:23:10

抱歉個人不是很瞭解,版主所提「一封造成我的mail server大量寄出垃圾信件的內容」的狀況為何?因看起來該封信係寄到版主的郵件伺服器(「Received: from User ([50.192.252.85]) by mail.xxx.com.tw」),而不是寄出去......
謝謝。

CalvinKuo iT邦大師 7 級 ‧ 2014-01-27 17:41:05 檢舉

這些信只是退信...
除非SMTP有大量的寄信Log,不然有可能只是某個郵件帳號被當作垃圾信的退信地址.....

hon2006 iT邦大師 1 級 ‧ 2014-01-28 11:07:21 檢舉
2
hcsvieken
iT邦研究生 5 級 ‧ 2014-01-29 08:24:24

s0341969提到:
X-Mailer: Microsoft Outlook Express 6.00.2600.0000

由這行來看應該是 用 Microsoft Outlook Express 寄出,所以密碼應胲已經外流了吧,而且ip還是國外的,先 drop 掉 ip 吧,並且如同其他大大說的查一下 log,尤其是pop的。

我要發表回答

立即登入回答