我遇到一个问题,我的一个用户收到了一封由他自己的地址发送的电子邮件,其中包含一个显然是恶意的 JavaScript 压缩文件。我尝试查看日志,但找不到任何关于此消息的引用。我如何知道此消息来自哪里?此用户的所有记录都有一个私有 IP,因此我猜想他正在使用来自他自己网络的客户端。
例子:
[email protected] H=([10.141.53.117]) [197.250.193.117] P=esmtpsa X=TLS1.0:ECDHE_RSA_AES_256_CBC_SHA384:256 A=plain_saslauthd_server:user S=9555 [email protected]
我安装了 clamav 和 spamassassin,它们正常运行并更新,但由于某种原因,它们没有拦截该消息。
答案1
有时发件人标头会被伪造。查看邮件标头(已接收:通常最有用)。我建议将 dkim 和 spf 记录添加到您的域,这样只有您的邮件服务器才能从您的域发送邮件。