根據您私訊寄給我的 Mail Header, 我們大約知道以下的資訊:
(點圖可放大)

很不幸的, 您寄給我 Header 的時候, 並沒有一併告訴我這個 Header 是從哪裡來的? 是你收到的退信? 還是寄出去的信? 所以我只能隨便猜 (進行資訊鑑識的時候, 每一個細節都非常重要, 包括: 人事時地物, 缺了任何一個, 都會影響判讀):

假設你是從退信中, 取出這個 Header 的.
那麼我對這個 header 的解析會是這樣:

• 這是由 163.com 退回來的信 (證據是 From 來自 postmaster),
• 退信寄給 alisahsu@microbase.com.tw 這個信箱 (我猜這應該是你們的用戶信箱, 所以你們才會抓狂)
• 原信是想要寄給 sksec@163.comsksec@163.com (因為 Delivererd-to 透露出他原本想要寄的對象, 但不用專家也看得出來, 這個地址本身的格式就是錯的, 所以不可能寄到, 於是被 163.com 退回)
• 但這封信為何會退給 alisahsu@microbase.com.tw? 這要看當初寄信的時候, 寄信者的欄位是怎麼寫的? 如果他在 From: 或是 Reply-to 的欄位填上 alisahsu@microbase.com.tw 的話, paostmaster@163.com 在退信的時候, 就會抓這個欄位來退. 由於我假設你寄給我的 header 是屬於退信, 所以我們無從得知寄出去的信是否有這些欄位?

從以上解析可得知:

當初信件不一定要從真正的 alisahsu@microbase.com.tw 信箱寄出去, 任何一個人, 只要能偽造 From: 或是 Reply-to 的欄位, 把他填入 alisahsu@microbase.com.tw 這段文件, 然後幸運地在寄出去的時候, 沒有被第一個收件的 SMTP Server 檢查出異狀, 就可以躲過這道檢查, 從任何地點, 任何電腦, 寄出這封信, 而且當他被退信的時候, 一定會退給 alisahsu@microbase.com.tw.

這樣看來, 有幾種途徑可以寄出這樣的信:

• 從你真正用戶的電腦, 透過公司的 SMTP
• 從你真正用戶的電腦, 自己發送 SMTP
• 從公司以外的電腦, 透過 SMTP Relay

你可以檢查公司的 Mail Server, 是否有 alisahsu 這個用戶對外寄給 sksec 的紀錄? 如果沒有的話, 那第一個途徑暫時可以否決.

其次, 你可以用防火牆, 封鎖公司所有電腦對外連線 port 25 的通路, 只單單留給 Mail Server 使用. 這樣一來, 你也阻斷了第二個途徑.

如果以上兩者都做了還是有的話, 代表寄信者採用第三個途徑: 從公司以外的電腦寄信的. 此時, 他會有三種選擇:

1. 如果你公司的 Mail Server 沒有關閉 Relay 功能的話, 他可以利用你公司的 Server, 從外部寄信
2. 如果你公司的 Mail Server 關閉了 Relay, 但是開啟 SMTP Authentication 允許外部寄信的話, 他可以在取得 alisahsu 的 SMTP 密碼之後, 從外面透過公司的 Server 寄信.
3. 如果以上皆非, 那他可以在網路上搜尋任何一台有開啟 SMTP Relay 功能的 Server, 透過他把信寄出去.

上面的 1 和 2 是你的責任, 必須由你來查修和阻絕. 但若發生 3 的話, 你還是有辦法禁止他從任何地方偽造公司信箱的名義寄信, 方法是靠 DNS 的 SPF 宣告, 詳情請參閱:

Google Search: 《DNS SPF 設定》
(提示: SPF 裡面設定 -all, 可以比一般設定成 ~all, 更嚴格的防止這類問題發生)