mail server的帳號盜用

windows server mail postfix

hungo 2014-09-24 14:48:13 ‧ 3418 瀏覽

分享至

不好意思
最近接任一個freebsd上架設postfix的mail server
有一位用戶反應說他帳號收到幾萬封垃圾信件
有查詢過可能為帳號盜用情況
目前是暫時更改帳號密碼
另外採用
http://blog.xuite.net/tolarku/blog/81551578
所提到的狀況二來進行刪除
也請使用者將電腦重灌(懷疑可能為使用者電腦中毒)
確實也沒有在收到垃圾信件

可以請問一下目前這樣的步驟安全了嗎？
另外可以請問一下要如何查到帳號盜用狀況？

謝謝

alexlin615 iT邦新手 5 級 ‧ 2014-09-24 15:53:16 檢舉

退信攻擊?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

enen1980

iT邦研究生 1 級 ‧ 2014-09-25 09:58:04

最佳解答

1.) 在FIREWALL BLOCK 發信DOMAIN/IP 吧~~
2.) 向你的ISP 報告

回應
分享
檢舉

登入發表回應

aeolus0829

iT邦研究生 4 級 ‧ 2014-09-24 16:27:23

樓上說的很有可能

不過幾萬封的退信攻擊也太可觀了點
我想應該不是一下子收到數萬封吧？(考量頻寬和機器扛的住的問題)

值的注意的是，寄垃圾信給使用者並不需要他的帳號密碼，因此帳密外洩比較不用擔心
比較有可能是他在外面論壇還是抓東西時，到處留自己的email帳號，才會讓有心人蒐集到，這個行為是比較值得擔心的
這表示類似的事情仍然很可能會發生
若以後再發生，就請使用者換 email 吧

Undelivered Mail Returned to Sender 可以從 /var/log/mail.log (位置和檔名視 distro 而定)
隨便抓一封和使用者有關的信，然後用 MAIL ID 去看一下，可能會看到有趣的東西，也有可能是 USER 的電腦中毒，一直在狂發信
Sep 24 16:12:38 lnx02 postfix/smtpd[22738]: A48B311E6B: client=unknown[49.90.36.253]
Sep 24 16:12:39 lnx02 postfix/cleanup[22746]: A48B311E6B: message-id=<pyofntxewxb.fncqtzxjiug513josdm@ms18.hinet.net>
Sep 24 16:12:39 lnx02 postfix/qmgr[1829]: A48B311E6B: from=<0013dpzm@ms81.hinet.net>, size=1447, nrcpt=1 (queue active)
Sep 24 16:12:42 lnx02 postfix/smtp[22747]: A48B311E6B: to=<user.name@yourdomain.com>, relay=192.168.0.5[192.168.0.5]:25, delay=3.8, delays=1.4/0/0/2.4, dsn=2.6.0, status=sent (250 2.6.0 <pyofntxewxb.fncqtzxjiug513josdm@ms18.hinet.net> [InternalId=719788] Queued mail for delivery)
Sep 24 16:12:42 lnx02 postfix/qmgr[1829]: A48B311E6B: removed