MAIL SERVER出現警告！您的帳號可能被盜用 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

MAIL SERVER出現警告！您的帳號可能被盜用

mail server

z22344566 2018-10-19 08:28:40 ‧ 3847 瀏覽

分享至

問題是這樣的.....
最近幾乎每天都會收到以下的通知信
通知顯示我的account 是 address 這個帳號
但是這個帳號他只是我們公司的通訊錄而已，這帳號也無權發送外網mail
如果更改了address的密碼，全公司的通訊錄都無法使用了，因為我需要一一去修改密碼?
不知道這樣子說各位前輩是否看得懂...
附件檔點進去內容只是寫著 test
請各位前輩指導，謝謝。

Warning! Your account : address might be embezzled , The email topic below was sent by your approved account and password. But since the system detected the source of email was not matched the approved account, it already blocked and deleted the email automatically. If you have any question, please contact your server administrator. 
________________________________________

Sender : SRSO+yf09=Cw=pobox.com=ann@pobox.com 
Receivers : steve0@trolololo.org , steve10@trolololo.org , steve11@trolololo.org , steve12@trolololo.org , steve13@trolololo.org , steve14@trolololo.org , steve15@trolololo.org , steve16@trolololo.org , steve17@trolololo.org , steve18@trolololo.org , steve19@trolololo.org , steve1@trolololo.org , steve20@trolololo.org , steve21@trolololo.org , steve22@trolololo.org , steve23@trolololo.org , steve24@trolololo.org , steve25@trolololo.org , steve26@trolololo.org , steve27@trolololo.org , steve28@trolololo.org , steve29@trolololo.org , steve2@trolololo.org , steve30@trolololo.org , steve31@trolololo.org , steve32@trolololo.org , steve33@trolololo.org , steve34@trolololo.org , steve35@trolololo.org , steve36@trolololo.org , steve37@trolololo.org , steve38@trolololo.org , steve39@trolololo.org , steve3@trolololo.org , steve40@trolololo.org , steve41@trolololo.org , steve42@trolololo.org , steve43@trolololo.org , steve44@trolololo.org , steve45@trolololo.org , steve46@trolololo.org , steve47@trolololo.org , steve48@trolololo.org , steve49@trolololo.org , steve4@trolololo.org , steve5@trolololo.org , steve6@trolololo.org , steve7@trolololo.org , steve8@trolololo.org , steve9@trolololo.org

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2018-10-19 13:06:20 檢舉

mail reply 關了沒

newkevin iT邦高手 1 級 ‧ 2018-10-19 14:22:38 檢舉

既然開了
有防毒掃毒
付費的當然就先打電話去確認相關訊息

當然優先隔離跟
備份所有檔案
現在防毒不是都有沙盒
在裡面開應該相對安全
但通常建議依定要開
一定找檯離線電腦
COPY過去開完
整台還原

wingkawa iT邦新手 3 級 ‧ 2018-10-19 17:50:30 檢舉

欸...聯絡HMS-R5XPLUS管理員看看呢?

z22344566 iT邦新手 4 級 ‧ 2018-10-20 02:23:29 檢舉

HMS-R5XPLUS管理員....就是我
我先把address密碼改掉看看.........

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

7 個回答

1

darkslayer

iT邦好手 1 級 ‧ 2018-10-24 15:40:10

最佳解答

你寄件者的那個e-mail帳號跟寄信時用拿認證的e-mail帳號不一樣.
文中 "address" 這個是拿來認證用的.

address@ 這個account應該是ldap認證用的吧!

換密碼吧! 應該是密碼外洩了或者你的密碼用的是你們公司統編, 電話代表號之類的. 被猜到了.

回應 2
分享
檢舉

z22344566 iT邦新手 4 級 ‧ 2018-10-24 15:47:27 檢舉

謝謝。

harrypeter iT邦新手 4 級 ‧ 2020-08-06 09:53:49 檢舉

所以這就是最終解答嗎？

登入發表回應

2

msnman

iT邦研究生 1 級 ‧ 2018-10-19 08:40:55

MAIL帳號跟網域都可以假造！
只有發信的IP是真的！
去查查看來源IP就知道了！
這封信明顯是假的！

回應 3
分享
檢舉

z22344566 iT邦新手 4 級 ‧ 2018-10-19 08:50:07 檢舉

補充
我在mail server上面是沒有看到admin與address的發送紀錄
也沒有他們收到信件的紀錄

michaelwan iT邦高手 1 級 ‧ 2018-10-19 09:44:38 檢舉

讀懂基本的郵件RAW DATA才是正途.

michaelwan iT邦高手 1 級 ‧ 2018-10-19 10:00:56 檢舉

最近還有收到一種, 自稱它已經駭了你的郵件帳號, 理由是郵件寄件者是自己. 要求要付BTC的...差點笑了出來.

登入發表回應

1

kobecho

iT邦新手 3 級 ‧ 2018-10-19 09:09:16

我只能說你自己跳進陷阱了，今天身為一個資訊人員看到奇怪的信件應該是不會輕易地去打開附件，
建議你先做好心理準備(勒贖或是駭客的前置動作)，建議趕快先把公司伺服器全面掃毒一翻確認是否有異常狀態，以後遇到時處理方式應該是先查伺服器log跟狀態而不是輕易將附件打開

回應 1
分享
檢舉

z22344566 iT邦新手 4 級 ‧ 2018-10-19 09:22:44 檢舉

附件檔案我有先掃毒過，才開啟

登入發表回應

1

WilliamHuang

iT邦研究生 1 級 ‧ 2018-10-19 09:41:33

本來要繼續潛水的
看到有用掃毒軟體掃過
你就是一位不合格的網管
掃毒軟體僅能掃到已經知道的毒
一堆毒都防毒都不能控制的
我只是浮起來吸氣的

回應 3
分享
檢舉

z22344566 iT邦新手 4 級 ‧ 2018-10-19 09:44:05 檢舉

阿....那請問我現在該怎麼辦....?
求救。

逢摸必爆MIS iT邦研究生 3 級 ‧ 2018-10-25 11:14:33 檢舉

這番話認同
剛剛看到說了有先掃過就覺得不妥

z22344566 iT邦新手 4 級 ‧ 2018-10-25 17:05:43 檢舉

我現在該怎麼辦?

登入發表回應

1

msit

iT邦高手 1 級 ‧ 2018-10-19 09:44:39

mail.com.tw那個網域是你們的嗎？

如果不是，這封信根本連看都不用看
開附件更是沒必要，完全中了詐騙信件的陷阱的感覺

網域不是你的，通知你說郵件帳號被盜用，根本沒有道理
而且就算是網域是你的，但是前面帳號並非你建立，發信IP不對，也只是透過其他smtp假裝同樣的address的信件
整個感覺就是跟你說去ATM操作，你還真的去轉帳的感覺

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

z22344566 iT邦新手 4 級 ‧ 2018-10-19 09:48:11 檢舉

是我們公司內部的mail網域
對外發送的mail使用另外一個網域

我不懂的是，主機查不到address有發送紀錄與收信紀錄

admin帳號上也沒有收發信紀錄。

thanks

小魚 iT邦大師 1 級 ‧ 2018-10-19 12:01:30 檢舉

網域帳號應該是抓的,
雖然我還沒寫過不知道會不會複雜...
查不到紀錄很正常,
因為根本沒這回事...

z22344566 iT邦新手 4 級 ‧ 2018-10-19 13:05:26 檢舉

請問什麼叫做沒這回事...

youarefat iT邦新手 5 級 ‧ 2018-10-19 16:56:15 檢舉

就是你的admin真的沒有寄信

z22344566 iT邦新手 4 級 ‧ 2018-10-19 17:00:27 檢舉

可是我也沒有收信紀錄，
那這封信是怎麼出現在我OUTLOOK信箱裡面?
WEBMAIL也沒有收到這封信

登入發表回應

0

Ryan

iT邦新手 1 級 ‧ 2018-10-19 10:50:56

你都已經開起來了，所以可以看一下通知信件以及夾帶的檔頭，這邊的資訊會比較完整，哪個來源位置，然後再比對一下Mail Log紀錄。

回應
分享
檢舉

登入發表回應

0

Chin

iT邦新手 3 級 ‧ 2018-10-22 07:35:34

你上面貼圖的是你修改過的還是真的原始寄件者和收件者?
我在想是不是你的mail server的mail reply沒關
郵件主機被當成垃圾信轉寄站
然後有伺服器被你的垃圾信塞到不行所以有啥機制啟動了寄這信給你
或是網路上有spam mail相關偵測機構發給你的

回應 1
分享
檢舉

z22344566 iT邦新手 4 級 ‧ 2018-10-22 08:15:18 檢舉

完全沒有修改過!

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22173 篇

完賽人數

597 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙