我如何知道我的邮件系统是否已被入侵?

我如何知道我的邮件系统是否已被入侵?

我的网站管理员万能电子邮件地址开始收到来自各种电子邮件系统的大量“递送状态通知(失败)”回复。每小时大约 1 条。

这显然是垃圾邮件,因为内容是关于药物的。我想弄清楚

1) 它不是由我们发送的,但回复字段被设置为我们的网站,因此我们收到了失败通知,或者 2) 我们的系统已被入侵,它由我们发送,损害了我们的声誉。此外 - 如果是这种情况,我该去哪里解决问题?!

谢谢!

以下是一个例子:

Delivery to the following recipient failed permanently:

 [email protected]

 Technical details of permanent failure:
 Google tried to deliver your message, but it was rejected by the recipient domain. We         recommend contacting the other email provider for further information about the cause of    this error. The error that the other server returned was: 550 550 5.1.1   <[email protected]>... User unknown (state 13).

 ----- Original message -----

 Received: by 10.204.152.70 with SMTP id f6mr6872450bkw.7.1341224023720;
 Mon, 02 Jul 2012 03:13:43 -0700 (PDT)
 Received: by 10.204.152.70 with SMTP id f6mr6872447bkw.7.1341224023673;
 Mon, 02 Jul 2012 03:13:43 -0700 (PDT)
 Return-Path: <[email protected]>
 Received: from 94.98.142.218 ([94.98.142.218])
 by mx.google.com with ESMTP id hi9si10538192bkc.151.2012.07.02.03.13.38;
 Mon, 02 Jul 2012 03:13:39 -0700 (PDT)
 Received-SPF: neutral (google.com: 94.98.142.218 is neither permitted nor denied by   best guess record for domain of [email protected]) client-ip=94.98.142.218;
 Authentication-Results: mx.google.com; spf=neutral (google.com: 94.98.142.218 is neither permitted nor denied by best guess record for domain of [email protected])    [email protected]
 Date: Mon, 02 Jul 2012 03:13:39 -0700 (PDT)
 Message-Id: <20120702131340.6C18454BE719A3A513E9@USER-PC>
 From: Leslie Browning <[email protected]>
 To: grdchurch <[email protected]>
 Reply-To: Maryanne Whitehead <[email protected]>
 Subject: For grdchurch
 Mime-Version: 1.0
 Content-Type: text/plain; charset=utf-8
 Content-Transfer-Encoding: 7bit

 best ED meds! Be confident! Buy here http://www.akermedic.ru/

 B3B0ED3F2E14A898C2C644020D7E9A8071
 30DA492A4CF3EB0A0E3DE1371040BE5C81
 4C9CF9C9AC2D7881DACD5D1B0A9A460

答案1

我首先会快速检查您是否来自沙特阿拉伯,因为“接收自”IP 来自 SA 的家庭 DSL 用户池。如果不是,我的第一反应是,不是,这不是来自您的。

其次,您可以检查邮件服务器上的系统日志,看看是否显示任何外发邮件。

第三,检查您的路由器是否只允许从您的邮件服务器在端口 25 上进行传出活动;否则,受到感染的工作站可以发送电子邮件,并且它会从您的传出 IP 中显示。

第四个方法是,如果您想验证邮件服务器没有发送多余的电子邮件,则可以在邮件服务器上运行数据包嗅探器,或者在邮件服务器和路由器之间插入一个可以运行 wireshark/tcpdump 的系统,以“干净地捕获”网络流量,因为被感染的系统可以在被 rootkit 攻击后隐藏它们正在做的事情。

答案2

您的一个(或多个)网页很可能具有发送邮件的功能。

通过此表单或其他方式联系我们。或者这只是有缺陷的代码。恶意机器人会利用这一点并发送邮件,从而破坏脚本的初衷(内部工作原理)。

如果您提供更多信息,我们可以尽力为您提供进一步的帮助。

首先,检查 Web 服务器日志中是否有 POST 请求。可以通过在日志中查找过多的 POST 请求来识别注入的内容。

答案3

我首先会查看邮件服务器日志以查找此消息。它被赋予了一个唯一的 ID 号,但如果您的系统发送了该消息,您应该至少能够轻松找到该消息。如果您确实找到了该消息,则很有可能您的员工计算机或设备感染了某种病毒。但是,您需要将发送消息的设备的 IP 地址与您预期的 IP 地址进行比较。

相关内容