問題是這樣的.....
最近幾乎每天都會收到以下的通知信
通知顯示我的account 是 address 這個帳號
但是這個帳號他只是我們公司的通訊錄而已,這帳號也無權發送外網mail
如果更改了address的密碼,全公司的通訊錄都無法使用了,因為我需要一一去修改密碼?
不知道這樣子說各位前輩是否看得懂...
附件檔點進去內容只是寫著 test
請各位前輩指導,謝謝。
Warning! Your account : address might be embezzled , The email topic below was sent by your approved account and password. But since the system detected the source of email was not matched the approved account, it already blocked and deleted the email automatically. If you have any question, please contact your server administrator.
________________________________________
Sender : SRSO+yf09=Cw=pobox.com=ann@pobox.com
Receivers : steve0@trolololo.org , steve10@trolololo.org , steve11@trolololo.org , steve12@trolololo.org , steve13@trolololo.org , steve14@trolololo.org , steve15@trolololo.org , steve16@trolololo.org , steve17@trolololo.org , steve18@trolololo.org , steve19@trolololo.org , steve1@trolololo.org , steve20@trolololo.org , steve21@trolololo.org , steve22@trolololo.org , steve23@trolololo.org , steve24@trolololo.org , steve25@trolololo.org , steve26@trolololo.org , steve27@trolololo.org , steve28@trolololo.org , steve29@trolololo.org , steve2@trolololo.org , steve30@trolololo.org , steve31@trolololo.org , steve32@trolololo.org , steve33@trolololo.org , steve34@trolololo.org , steve35@trolololo.org , steve36@trolololo.org , steve37@trolololo.org , steve38@trolololo.org , steve39@trolololo.org , steve3@trolololo.org , steve40@trolololo.org , steve41@trolololo.org , steve42@trolololo.org , steve43@trolololo.org , steve44@trolololo.org , steve45@trolololo.org , steve46@trolololo.org , steve47@trolololo.org , steve48@trolololo.org , steve49@trolololo.org , steve4@trolololo.org , steve5@trolololo.org , steve6@trolololo.org , steve7@trolololo.org , steve8@trolololo.org , steve9@trolololo.org
你寄件者的那個e-mail帳號跟寄信時用拿認證的e-mail帳號不一樣.
文中 "address" 這個是拿來認證用的.
address@ 這個account應該是ldap認證用的吧!
換密碼吧! 應該是密碼外洩了或者你的密碼用的是你們公司統編, 電話代表號之類的. 被猜到了.
MAIL帳號跟網域都可以假造!
只有發信的IP是真的!
去查查看來源IP就知道了!
這封信明顯是假的!
我只能說你自己跳進陷阱了,今天身為一個資訊人員看到奇怪的信件應該是不會輕易地去打開附件,
建議你先做好心理準備(勒贖或是駭客的前置動作),建議趕快先把公司伺服器全面掃毒一翻確認是否有異常狀態,以後遇到時處理方式應該是先查伺服器log跟狀態而不是輕易將附件打開
本來要繼續潛水的
看到有用掃毒軟體掃過
你就是一位不合格的網管
掃毒軟體僅能掃到已經知道的毒
一堆毒都防毒都不能控制的
我只是浮起來吸氣的
mail.com.tw那個網域是你們的嗎?
如果不是,這封信根本連看都不用看
開附件更是沒必要,完全中了詐騙信件的陷阱的感覺
網域不是你的,通知你說郵件帳號被盜用,根本沒有道理
而且就算是網域是你的,但是前面帳號並非你建立,發信IP不對,也只是透過其他smtp假裝同樣的address的信件
整個感覺就是跟你說去ATM操作,你還真的去轉帳的感覺
你都已經開起來了,所以可以看一下通知信件以及夾帶的檔頭,這邊的資訊會比較完整,哪個來源位置,然後再比對一下Mail Log紀錄。
你上面貼圖的是你修改過的還是真的原始寄件者和收件者?
我在想是不是你的mail server的mail reply沒關
郵件主機被當成垃圾信轉寄站
然後有伺服器被你的垃圾信塞到不行所以有啥機制啟動了寄這信給你
或是網路上有spam mail相關偵測機構發給你的