如何得知並防止使用者帳密被盜用來將郵件伺服器當成廣告信跳板

levy · 三段 註冊時間: 2002-10-25 文章: 59 來自: 中華民國

請教各位大大，前二天郵件伺服器被不肖人士當成廣告信跳板，但我一直是[啟動SMTP Relay],[啟動IP限制],[啟動SMTP Auth]，我懷疑是使用者的帳密被破解，才會被盜寄，不知要如何得知是那個使用者帳密被盜？
LOG 如下：（mail.levyxxx.com 是我的網域，xaehko並不是域內的使用者名稱）但 .cmd 出現 AUTH LOGIN

---- dtl
[2007/7/23 上午 11:56:55] [1684] SMTP 服務接受從 220.136.182.2 來的連線
[2007/7/23 上午 11:56:56] [1684] 220.136.182.2 要求 SMTP 服務 - 寄信人是 xaehko@mail.levyxxx.com
[2007/7/23 上午 11:56:57] [1684] 220.136.182.2 - 郵件內容已收到 (To:enrkq983@yahoo.com.tw) 1004 bytes ( 1.1 KB/s)
[2007/7/23 上午 11:56:57] [1684] SMTP 服務中斷從 220.136.182.2 來的連線
[2007/7/23 上午 11:57:00] [1684] 傳送郵件從 xaehko@mail.levyxxx.com 到 enrkq983@yahoo.com.tw(msa.hinet.net) 成功 1129 bytes ( 1.1 KB/s)
----- cmd
2007/07/23:11:56:55 SMTP 220.136.182.2 EHLO UATIM-E6CD04F21.net
2007/07/23:11:56:55 SMTP 220.136.182.2 AUTH LOGIN
2007/07/23:11:56:56 SMTP 220.136.182.2 dGVzdA==
2007/07/23:11:56:56 SMTP 220.136.182.2 MAIL FROM: <xaehko>
2007/07/23:11:56:56 SMTP 220.136.182.2 RCPT TO: <enrkq983>
2007/07/23:11:56:56 SMTP 220.136.182.2 DATA
2007/07/23:11:56:57 SMTP 220.136.182.2 QUIT
----- log
2007/07/23:11:56:55 SMTP 220.136.182.2 CN
2007/07/23:11:56:57 SMTP 220.136.182.2 DC
2007/07/23:11:57:00 SMTP 220.136.182.2 SS xaehko@mail.levyxxx.com enrkq983@yahoo.com.tw 1129

換了IP ....

---- dtl
[2007/7/23 下午 01:18:51] [836] SMTP 服務接受從 220.137.252.134 來的連線
[2007/7/23 下午 01:18:52] [836] 220.137.252.134 要求 SMTP 服務 - 寄信人是 xaehko@mail.levyxxx.com
[2007/7/23 下午 01:18:52] [836] 220.137.252.134 - 郵件內容已收到 (To:pwhlmrvfq8@yahoo.com.tw) 1007 bytes ( 1.2 KB/s)
[2007/7/23 下午 01:18:52] [836] SMTP 服務中斷從 220.137.252.134 來的連線
[2007/7/23 下午 01:18:53] [836] 傳送郵件從 xaehko@mail.levyxxx.com 到 pwhlmrvfq8@yahoo.com.tw(msa.hinet.net) 成功 1134 bytes ( 1.1 KB/s)
---- cmd
2007/07/23:13:18:51 SMTP 220.137.252.134 EHLO UATIM-E6CD04F21.net
2007/07/23:13:18:51 SMTP 220.137.252.134 AUTH LOGIN
2007/07/23:13:18:51 SMTP 220.137.252.134 dGVzdA==
2007/07/23:13:18:52 SMTP 220.137.252.134 MAIL FROM: <xaehko>
2007/07/23:13:18:52 SMTP 220.137.252.134 RCPT TO: <pwhlmrvfq8>
2007/07/23:13:18:52 SMTP 220.137.252.134 DATA
2007/07/23:13:18:52 SMTP 220.137.252.134 QUIT
---- log
2007/07/23:13:18:51 SMTP 220.137.252.134 CN
2007/07/23:13:18:52 SMTP 220.137.252.134 DC
2007/07/23:13:18:53 SMTP 220.137.252.134 SS xaehko@mail.levyxxx.com pwhlmrvfq8@yahoo.com.tw 1134

又換了IP ....

[2007/7/23 下午 04:48:09] [464] 125.91.74.6 要求 SMTP 服務 - 寄信人是 xaehko@mail.levyxxx.com
[2007/7/23 下午 04:48:10] [464] 125.91.74.6 - 郵件內容已收到 (To:22538010@yahoo.com.tw,n885119@yahoo.com.tw,z10212002@yahoo.com.tw,suncue3939@yahoo.com.tw,joe1022g@yahoo.com.tw,kintsina@yahoo.com.tw,break_of_dawn_kt@yahoo.com.tw,larcloveh@yahoo.com.tw,evan95911@yahoo.com.tw,wwling0708@yahoo.com.tw,leon-rex@yahoo.com.tw) 3995 bytes ( 5.2 KB/s)
[2007/7/23 下午 04:48:10] [464] SMTP 服務中斷從 125.91.74.6 來的連線
[2007/7/23 下午 04:48:10] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 22538010@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:11] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 n885119@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:12] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 z10212002@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:12] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 suncue3939@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:18] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 joe1022g@yahoo.com.tw(msa.hinet.net) 失敗 (501 <xaehko>... Sender domain must exist)
[2007/7/23 下午 04:48:28] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 kintsina@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:29] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 break_of_dawn_kt@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:29] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 larcloveh@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:30] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 evan95911@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:31] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 wwling0708@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
[2007/7/23 下午 04:48:31] [464] 傳送郵件從 xaehko@mail.levyxxx.com 到 leon-rex@yahoo.com.tw(msa.hinet.net) 成功 4111 bytes ( 4.1 KB/s)
---- cmd
2007/07/23:16:49:37 SMTP 125.91.74.6 EHLO yahoo.com.tw
2007/07/23:16:49:37 SMTP 125.91.74.6 AUTH LOGIN
2007/07/23:16:49:37 SMTP 125.91.74.6 dGVzdA==
2007/07/23:16:49:37 SMTP 125.91.74.6 MAIL FROM: <xaehko>
2007/07/23:16:49:37 SMTP 125.91.74.6 RCPT TO: <shany80096>
2007/07/23:16:49:37 SMTP 125.91.74.6 RCPT TO: <gallonwujallon>
2007/07/23:16:49:37 SMTP 125.91.74.6 RCPT TO: <feng19831227>
2007/07/23:16:49:37 SMTP 125.91.74.6 RCPT TO: <c24141>
2007/07/23:16:49:37 SMTP 125.91.74.6 RCPT TO: <mktg168>
2007/07/23:16:49:37 SMTP 125.91.74.6 RCPT TO: <reset2999>
2007/07/23:16:49:38 SMTP 125.91.74.6 RCPT TO: <wesly0918>
2007/07/23:16:49:38 SMTP 125.91.74.6 RCPT TO: <inlove317>
2007/07/23:16:49:38 SMTP 125.91.74.6 RCPT TO: <cttlee_tw>
2007/07/23:16:49:38 SMTP 125.91.74.6 RCPT TO: <to790712>
2007/07/23:16:49:38 SMTP 125.91.74.6 RCPT TO: <zxcvb>
2007/07/23:16:49:38 SMTP 125.91.74.6 DATA
2007/07/23:16:49:39 SMTP 125.91.74.6 QUIT
----- log
2007/07/23:16:49:37 SMTP 125.91.74.6 CN
2007/07/23:16:49:39 SMTP 125.91.74.6 DC
2007/07/23:16:49:39 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com shany80096@yahoo.com.tw 4106
2007/07/23:16:49:40 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com gallonwujallon@yahoo.com.tw 4106
2007/07/23:16:49:41 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com feng19831227@yahoo.com.tw 4106
2007/07/23:16:49:42 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com c24141@yahoo.com.tw 4106
2007/07/23:16:49:42 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com mktg168@yahoo.com.tw 4106
2007/07/23:16:49:47 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com reset2999@yahoo.com.tw 4106
2007/07/23:16:49:48 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com wesly0918@yahoo.com.tw 4106
2007/07/23:16:49:48 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com inlove317@yahoo.com.tw 4106
2007/07/23:16:49:49 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com cttlee_tw@yahoo.com.tw 4106
2007/07/23:16:49:49 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com to790712@yahoo.com.tw 4106
2007/07/23:16:49:50 SMTP 125.91.74.6 SS xaehko@mail.levyxxx.com zxcvb.0728@yahoo.com.tw 4106

直到我將[外寄時]寄件人信箱必須是存在的帳號勾選，才防堵盜寄。並清除了Outboxes三萬多封待寄信件。
但是，我司網站需要提供其他網域的寄信服務，又由於IIS上的SMTP寄不出信件而需要利用RaidenMaild來當[智慧主機]轉寄，因此我不能勾選[外寄時]寄件人信箱必須是存在的帳號，請問各位大大有沒有較好的解決方法？感恩。

Arnor · 發表於: 星期四七月 26, 2007 10:47 am 文章標題:

密碼外洩的帳號名是 test

2007/07/23:11:56:55 SMTP 220.136.182.2 AUTH LOGIN
2007/07/23:11:56:56 SMTP 220.136.182.2 dGVzdA== base64解碼=> test
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

levy · 發表於: 星期四七月 26, 2007 1:28 pm 文章標題: