素大發生一個神奇的盜寄信件的怪事

liu007 · 七段 註冊時間: 2003-11-19 文章: 153 來自: TAIWAN

sales.dept這個信箱只有勾選[帳號永不過期]這個選項
POP3僅能內網使用
不知道他是怎麼通過認證的進行盜寄的

[2010/11/26 19:29:12] [3052] SMTP 服務接受從 113.244.208.111 來的連線
[2010/11/26 19:29:13] [3052] SMTP 服務接受從 113.244.208.111 來的連線
[2010/11/26 19:29:13] [3052] 113.244.208.111 要求 SMTP 服務 - 寄信人是 sales.dept@xxx.com.tw
[2010/11/26 19:29:14] [3052] 113.244.208.111 - 郵件內容已收到 (To:sohuppt@163.com) 289 bytes ( 0.3 KB/s)

[2010/11/26 19:29:15] [3052] 儲存郵件到 <outlog> 的信箱, 檔名為 _20101126192913-897587673-3052.eml 339 bytes
[2010/11/26 19:29:15] [3052] SMTP 服務中斷從 113.244.208.111 來的連線

信件資料
--------------------
sales.dept@xxx.com.tw
sohuppt@163.com,
Date: Sat,26 Nov 2011 19:23:47 +0800
From: "sales.dept" <sales>
To: "sohuppt" <sohuppt>
Subject: test
X-mailer: Foxmail 6, 15, 201, 23 [cn]
Mime-Version: 1.0
Content-Type: text/plain;
charset="gb2312"
Content-Transfer-Encoding: 7bit

另一個問題怎麼貼圖片?
_________________
# 版本: 雷電MAILD 1.9.17 file update 14
# 版本: 雷電DNSD中文版 1.3.7
# 版本: 雷電FTPD中文版 2.4 build 3681
# 作業系統: WinXP Pro
# 沒有使用 NAT, 使用 DMZ
# 防火牆軟體: SonicWALL
# 防毒軟體: 是 NOD 32
# 使用網路: 12M/1M 固定IP ADSL

Arnor · 發表於: 星期五十二月 03, 2010 5:35 pm 文章標題:

盜寄?

你恐怕要先看看同一時間的 cmd 檔, 確定該IP 是用該帳號密碼獲得寄信權限才能證實這件事, 而不能單純只看寄件人email.

確定了是用該帳號, 就是參考置頂文章的解救辦法去修正密碼及清outbox.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

liu007 · 七段 註冊時間: 2003-11-19 文章: 153 來自: TAIWAN

素大:
他這樣是有獲得權限嗎?

2010/11/26:19:29:12 SMTP 113.244.208.111 EHLO ylmf-pc
2010/11/26:19:29:12 SMTP 113.244.208.111 AUTH LOGIN
2010/11/26:19:29:12 SMTP 113.244.208.111 c2FsZXMuZGVwdA==
2010/11/26:19:29:13 SMTP 113.244.208.111 EHLO ylmf-pc
2010/11/26:19:29:13 SMTP 113.244.208.111 AUTH LOGIN
2010/11/26:19:29:13 SMTP 113.244.208.111 c2FsZXMuZGVwdA==
2010/11/26:19:29:13 SMTP 113.244.208.111 MAIL FROM: <sales>
2010/11/26:19:29:13 SMTP 113.244.208.111 RCPT TO: <sohuppt>
2010/11/26:19:29:13 SMTP 113.244.208.111 Data
2010/11/26:19:29:15 SMTP 113.244.208.111 QUIT
_________________
# 版本: 雷電MAILD 1.9.17 file update 14
# 版本: 雷電DNSD中文版 1.3.7
# 版本: 雷電FTPD中文版 2.4 build 3681
# 作業系統: WinXP Pro
# 沒有使用 NAT, 使用 DMZ
# 防火牆軟體: SonicWALL
# 防毒軟體: 是 NOD 32
# 使用網路: 12M/1M 固定IP ADSL

Arnor · 發表於: 星期日十二月 12, 2010 8:54 am 文章標題:

它就是用 sales.dept
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

liu007 · 七段 註冊時間: 2003-11-19 文章: 153 來自: TAIWAN

我重設密碼
也重新設定防火牆
目前沒有發現甚麼異狀了

_________________
# 版本: 雷電MAILD 1.9.17 file update 14
# 版本: 雷電DNSD中文版 1.3.7
# 版本: 雷電FTPD中文版 2.4 build 3681
# 作業系統: WinXP Pro
# 沒有使用 NAT, 使用 DMZ
# 防火牆軟體: SonicWALL
# 防毒軟體: 是 NOD 32
# 使用網路: 12M/1M 固定IP ADSL

reallusion · 一級 註冊時間: 2008-07-10 文章: 12

我這邊前兩天也遇到類似的事情了
有人偷用我的伺服器當作跳板濫發廣告信件
查看 .cmd 檔的結果發現不知怎麼的被偷開了一個名為 smtp 的帳號
之後對方就是用這個帳號堂而皇之的連進來幫 service@hsbc.co.uk 濫發信
我的伺服器前面還有一台 firewall 在檔著, 只有 permit tcp 25 和 110
這台伺服器已經架設好幾年了都有定期檢查更新, 不曾發生過這種事
不知道對方是怎麼辦到的?

English commercial version 1916 file update 14

===== 我的 .cmd 檔 =====
2011/01/12:22:00:13 SMTP 94.169.220.26 EHLO billy4725bb8f2
2011/01/12:22:00:15 SMTP 94.169.220.26 EHLO User
2011/01/12:22:00:15 SMTP 94.169.220.26 AUTH LOGIN
2011/01/12:22:00:16 SMTP 94.169.220.26 c210cA==
2011/01/12:22:00:17 SMTP 94.169.220.26 RSET
2011/01/12:22:00:17 SMTP 94.169.220.26 MAIL FROM:<service>
2011/01/12:22:00:17 SMTP 94.169.220.26 RCPT TO:<dmayoress>
2011/01/12:22:00:18 SMTP 94.169.220.26 RCPT TO:<lee12>
2011/01/12:22:00:18 SMTP 94.169.220.26 RCPT TO:<lemmer42>
2011/01/12:22:00:19 SMTP 94.169.220.26 RCPT TO:<olatoyinbo2>
2011/01/12:22:00:19 SMTP 94.169.220.26 RCPT TO:<olatoyinbo2>
2011/01/12:22:00:19 SMTP 94.169.220.26 RCPT TO:<sstu88811>
：
：
：
：
：
恕刪...

===== .dtl 檔 =====
[2011/1/12 下午 10:00:20] [5128] 94.169.220.26 requests SMTP service - Sender: service@hsbc.co.uk
[2011/1/12 下午 10:00:25] [5128] 94.169.220.26 - Mail received (To:dmayoress@yahoo.co.uk,lee12@inbox.com,lemmer42@yahoo.com,olatoyinbo2@aol.co.uk,olatoyinbo2@hotmail.co.uk,sstu88811@gmail.com) 2111 bytes ( 3.6 Kb/s)
[2011/1/12 下午 10:00:26] [5128] SMTP service disconnect connection from 94.169.220.26
[2011/1/12 下午 10:00:28] [5128] Send mail from service@hsbc.co.uk to dmayoress@yahoo.co.uk(77.238.184.241) successfully 2271 bytes ( 2.3 KB/s)
[2011/1/12 下午 10:00:31] [5128] Send mail from service@hsbc.co.uk to lee12@inbox.com(64.135.83.90) successfully 2265 bytes ( 2.3 KB/s)
[2011/1/12 下午 10:00:33] [5128] Send mail from service@hsbc.co.uk to lemmer42@yahoo.com(209.191.88.254) successfully 2268 bytes ( 2.3 KB/s)
[2011/1/12 下午 10:00:38] [5128] Send mail from service@hsbc.co.uk to olatoyinbo2@aol.co.uk(64.12.139.193) failed (421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html)[2]
[2011/1/12 下午 10:00:40] [5128] Send mail from service@hsbc.co.uk to olatoyinbo2@hotmail.co.uk(65.55.37.120) successfully 2275 bytes ( 2.3 KB/s)
[2011/1/12 下午 10:00:41] [5128] Send mail from service@hsbc.co.uk to sstu88811@gmail.com(74.125.127.27) successfully 2269 bytes ( 2.3 KB/s)
：
：
：
恕刪...

Arnor · 發表於: 星期四一月 13, 2011 11:56 am 文章標題:

我無法認為有人能擅自加帳號

建議你從\Backup 目錄往回查
它有備份每天的組態包括使用者,
你可以查查smtp帳號是何時存在的
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

liu007 · 七段 註冊時間: 2003-11-19 文章: 153 來自: TAIWAN

目前找到原因了
因為我建立群組帳號時並沒有勾選[VIP用戶]
因此外部人員利用群組帳號寄送郵件時
Mail Server並不會要求驗證帳號密碼
請素大確認一下這個問題
謝謝!
_________________
# 版本: 雷電MAILD 1.9.17 file update 14
# 版本: 雷電DNSD中文版 1.3.7
# 版本: 雷電FTPD中文版 2.4 build 3681
# 作業系統: WinXP Pro
# 沒有使用 NAT, 使用 DMZ
# 防火牆軟體: SonicWALL
# 防毒軟體: 是 NOD 32
# 使用網路: 12M/1M 固定IP ADSL

Arnor · 發表於: 星期二一月 18, 2011 11:36 am 文章標題:

不是很懂

maillist 本身也沒屬性設 VIP

你指得是?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

allen42 · 發表於: 星期三一月 19, 2011 10:18 am 文章標題:

我們家也發生

不過修改使用者密碼之後就沒發生！
奇怪的是沒發現他之前有try密碼，不知他是如何取得的，改完後就發現他try密碼，不行又try其他帳號

像是這樣，有方法可以阻擋他嗎？
2011/01/13:18:25:06 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER informix
2011/01/13:18:25:07 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER webmaster
2011/01/13:18:25:07 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER data
2011/01/13:18:25:07 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER www
2011/01/13:18:25:07 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER server
2011/01/13:18:25:08 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER pwrchute
2011/01/13:18:25:08 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER test
2011/01/13:18:25:09 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER oracle8
2011/01/13:18:25:09 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER data
2011/01/13:18:25:09 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER backup
2011/01/13:18:25:10 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER pwrchute
2011/01/13:18:25:10 POP3 201.68.21.141 [Sorry, there is no such a mailbox or mailbox is inactivated] - USER account

Arnor · 發表於: 星期三一月 19, 2011 8:24 pm 文章標題:

防猜帳號密碼功能能阻撓它
但不能杜絕
除非你用防火牆擋它ip

就像把車停路邊若沒人管
加再多防盜還是會被盜
除非你不讓它接近車
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

liu007 · 七段 註冊時間: 2003-11-19 文章: 153 來自: TAIWAN

sorry.
我沒說清楚.
我直接建立一個信箱帳號當作群組帳號(不是用maillist)
因為要轉寄給內網及外網的人員
有設定密碼
但是沒有勾選[VIP用戶]
因此就被盜寄了
_________________
# 版本: 雷電MAILD 1.9.17 file update 14
# 版本: 雷電DNSD中文版 1.3.7
# 版本: 雷電FTPD中文版 2.4 build 3681
# 作業系統: WinXP Pro
# 沒有使用 NAT, 使用 DMZ
# 防火牆軟體: SonicWALL
# 防毒軟體: 是 NOD 32
# 使用網路: 12M/1M 固定IP ADSL