iT邦幫忙

0

NOTES郵箱凝似被盜用

  • 分享至 

  • xImage

公司用的是notes+spam的方式,在SPAM里記錄里有,自己郵件帳號給自己帳號發送一些勒索信息,有些Email地址正確,有些并無此帳號,發送的IP地址全是國外的IP,用戶的帳密有改過,現在又出現了同樣情況,請問要怎麼排查處理這問題?

看更多先前的討論...收起先前的討論...
望空 iT邦新手 1 級 ‧ 2023-05-15 10:15:55 檢舉
貌似是那種聲稱他拿到不雅影片要你給他比特幣的那種...檢查DMARC、SPF,以及設定關鍵字去排除吧(嘗試阻擋後發現關鍵字排除最有效)
mathewkl iT邦高手 1 級 ‧ 2023-05-15 10:23:11 檢舉
檢查內部感染情況吧,尤其是被當作跳板的使用者所使用的設備
要嘛是公司有桌機筆電中毒,如果是開放型的SMTP(S),看是不是弱密碼被猜到了,最好的方法把全員密碼重設,並花錢去解RBL、SBL....
先判斷這些「寄件者」的來源IP是不是你們的郵件伺服器吧。
如果不是的話,應該就是假冒的,但可以被假冒的話,是不是沒有作SPF、DKIM、DMARC?
如果這些「寄件者」的來源IP是你們家的郵件伺服器的話,看一下傳遞紀錄,是不是真的有這幾封信寄出,如果連傳遞紀錄都有的話,那你可能要先檢查這幾個User的電腦是不是中毒了之類的。
riches88 iT邦研究生 3 級 ‧ 2023-05-17 08:30:02 檢舉
針對三個前面回答總結:
提問者已經說明非內部IP了,所以不是內部感染
弱密碼被猜中,應該挺豪肖的,如果一個就算了,那個多個同時猜中,應該是不太可能吧
第三個應該更不用看:因為他已經查到spam有紀錄,若單純內部localhost domain name 就不會繞出到spam 回來的

首先看信件方向:(不是看是否自己寄給自己喔,是看spam 的信件方向)
只要設定本機帳號只允許mail主機使用自己網域就全部擋下,以後也不會有同網域自己寄給自己)
然後:查是否自己網域下帳號資料被取得而已,通常是中木馬後門其中,聯繫通訊錄被利用而已
多個User的弱密碼被猜中,其實一點都不豪洨。
是你還沒見識過User的下限有多低而已。
ks1217 iT邦研究生 1 級 ‧ 2023-05-19 09:34:05 檢舉
SPAM沒有啟動檢查SPF機制?? 你們有設定好SPF紀錄嗎? 有設定就可以隔絕掉這些問題.
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
james_tsai
iT邦見習生 ‧ 2023-05-16 07:28:07

請先確認一下你的 Domino Server 版本,再來了解一下 Server 的設定文件。

我要發表回答

立即登入回答