服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何知道我的邮件系统是否已经被盗用?
Intereting Posts
从iPhone / iPad审批Exchange审核的邮件 在Linux上的易失性分区 Exchange 2010和AD Master在Windows 2008 Server上一次? Nginx(openresty)生成随机数字 Linux:是否有可能知道安assembly置和编译的选项? SSL在Haproxy上卸载多个域(多个证书) 简单的方法来重命名在Windows目录中的所有文件 Windows Server 2008 R2“WIN7_DRIVER_FAULT_SERVER SYSTEM_SERVICE_EXCEPTION STOP:0x0000003B Postfix不会将邮件发送到在virtual_alias_domains中列出的外部电子邮件地址 使用* .reg文件在Windows上定义环境variables 如何configurationNginx来从CDN提供静态文件 JBoss7负载均衡与mod_proxy_balancer – 会话不工作 外部DNS需要很长时间才能解决AD计算机 Apache rotatelogs给出错误 UDP协议上的ncat(RH 7)

如何知道我的邮件系统是否已经被盗用?

我的网站pipe理员全部电子邮件地址开始收到很多来自各种电子邮件系统的“传送状态通知(失败)”回复。 在每小时1的顺序。

这显然是垃圾邮件发送,因为内容是关于药物。 我试图弄清楚是否

1)我们没有发送,但是回复字段正在设置到我们的网站,因此我们收到失败通知或2)我们的系统已经被妥协并且被我们发送,损害了我们的声誉。 另外 – 如果是这样的话,我在哪里寻找解决这个问题?!

谢谢!

这里是一个例子: 

Delivery to the following recipient failed permanently: [email protected] Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 550 550 5.1.1 <[email protected]>... User unknown (state 13). ----- Original message ----- Received: by 10.204.152.70 with SMTP id f6mr6872450bkw.7.1341224023720; Mon, 02 Jul 2012 03:13:43 -0700 (PDT) Received: by 10.204.152.70 with SMTP id f6mr6872447bkw.7.1341224023673; Mon, 02 Jul 2012 03:13:43 -0700 (PDT) Return-Path: <[email protected]> Received: from 94.98.142.218 ([94.98.142.218]) by mx.google.com with ESMTP id hi9si10538192bkc.151.2012.07.02.03.13.38; Mon, 02 Jul 2012 03:13:39 -0700 (PDT) Received-SPF: neutral (google.com: 94.98.142.218 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=94.98.142.218; Authentication-Results: mx.google.com; spf=neutral (google.com: 94.98.142.218 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Date: Mon, 02 Jul 2012 03:13:39 -0700 (PDT) Message-Id: <20120702131340.6C18454BE719A3A513E9@USER-PC> From: Leslie Browning <[email protected]> To: grdchurch <[email protected]> Reply-To: Maryanne Whitehead <[email protected]> Subject: For grdchurch Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 7bit best ED meds! Be confident! Buy here http://www.akermedic.ru/ B3B0ED3F2E14A898C2C644020D7E9A8071 30DA492A4CF3EB0A0E3DE1371040BE5C81 4C9CF9C9AC2D7881DACD5D1B0A9A460

我的第一个快速检查就是你是否来自沙特阿拉伯,因为“收到来的”IP来自南非的家庭DSL用户。 如果不是,我的第一个直觉就是不,这不是你的。

其次,您可以检查邮件服务器上的系统日志,看看是否显示任何外发邮件。

第三,检查你的路由器是否只允许从你的邮件服务器端口25的传出活动; 受损的工作站可能会发送电子邮件,并且会从您的外出IP中显示。

第四种方法是在邮件服务器上运行一个数据包嗅探器,如果你想validation它没有发送额外的电子邮件,或者在邮件服务器和路由器之间插入一个可以运行wireshark / tcpdump的系统来“清除”networkingstream量,因为妥协的系统可以隐藏他们正在做的事情,如果rootkitted。

很可能您的一个(或多个)网页包含发送邮件的function。

通过这个表格或其他东西联系我们。 或者它只是错误的代码。 一个恶意的机器人利用这一点,并发送与颠覆脚本的初衷(内部工作)的邮件。

如果您包含更多信息,我们可以尝试帮助您获得更多信息。

为了开始grep您的Web服务器日志POST请求。 可以通过在日志中查找过多的POST请求来识别注入的内容。

我会开始审查您的邮件服务器日志这个消息。 它被给了一个唯一的ID号码,但是如果你的系统发送了它,你应该能够轻松地至lessfind该消息。 如果您发现信息,您的员工计算机或设备有可能感染了某种东西。 但是,您希望将发送消息的设备的IP地址与预期的相比较。