NOTES郵箱凝似被盜用

lotus notes

firefly0769 2023-05-15 09:46:19 ‧ 1275 瀏覽

分享至

公司用的是notes+spam的方式,在SPAM里記錄里有,自己郵件帳號給自己帳號發送一些勒索信息,有些Email地址正確,有些并無此帳號,發送的IP地址全是國外的IP,用戶的帳密有改過,現在又出現了同樣情況,請問要怎麼排查處理這問題?

看更多先前的討論...收起先前的討論...

望空 iT邦新手 2 級 ‧ 2023-05-15 10:15:55 檢舉

貌似是那種聲稱他拿到不雅影片要你給他比特幣的那種...檢查DMARC、SPF，以及設定關鍵字去排除吧(嘗試阻擋後發現關鍵字排除最有效)

mathewkl iT邦高手 1 級 ‧ 2023-05-15 10:23:11 檢舉

檢查內部感染情況吧，尤其是被當作跳板的使用者所使用的設備

japhenchen iT邦超人 1 級 ‧ 2023-05-15 10:31:26 檢舉

要嘛是公司有桌機筆電中毒，如果是開放型的SMTP（S），看是不是弱密碼被猜到了，最好的方法把全員密碼重設，並花錢去解RBL、SBL....

小處成就大事 iT邦研究生 2 級 ‧ 2023-05-15 16:47:11 檢舉

先判斷這些「寄件者」的來源IP是不是你們的郵件伺服器吧。
如果不是的話，應該就是假冒的，但可以被假冒的話，是不是沒有作SPF、DKIM、DMARC？
如果這些「寄件者」的來源IP是你們家的郵件伺服器的話，看一下傳遞紀錄，是不是真的有這幾封信寄出，如果連傳遞紀錄都有的話，那你可能要先檢查這幾個User的電腦是不是中毒了之類的。

riches88 iT邦研究生 3 級 ‧ 2023-05-17 08:30:02 檢舉

針對三個前面回答總結：
提問者已經說明非內部IP了，所以不是內部感染
弱密碼被猜中，應該挺豪肖的，如果一個就算了，那個多個同時猜中，應該是不太可能吧
第三個應該更不用看：因為他已經查到spam有紀錄，若單純內部localhost domain name 就不會繞出到spam 回來的

首先看信件方向：（不是看是否自己寄給自己喔，是看spam 的信件方向）
只要設定本機帳號只允許mail主機使用自己網域就全部擋下，以後也不會有同網域自己寄給自己）
然後：查是否自己網域下帳號資料被取得而已，通常是中木馬後門其中，聯繫通訊錄被利用而已