被當跳板....且無法有smtp認證功能 ...

linkhome · 一級 註冊時間: 2010-09-16 文章: 1

傳送郵件從 lclol664815@yahoo.com.hk 到 qoo22871758@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:45] [3872] 傳送郵件從 pbnwf891637@yahoo.com.br 到 kenrachel123@yahoo.com.tw(203.188.197.9) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:45] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 rocklin15@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:45] [3872] 傳送郵件從 lclol664815@yahoo.com.hk 到 fengyu702@yahoo.com.tw(203.188.197.9) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:45] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 gll0912@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 lclol664815@yahoo.com.hk 到 qoo88888o@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 sunnya168@yahoo.com.tw(203.188.197.9) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 lclol664815@yahoo.com.hk 到 zex_akane@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 jamie-0326@yahoo.com.tw(203.188.197.9) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 lclol664815@yahoo.com.hk 到 superstarinsky331@yahoo.com.tw(203.188.197.9) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 zoewang23@yahoo.com.tw(203.188.197.9) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:46] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 leeandung@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:47] [3872] 傳送郵件從 wolrnv976344@yahoo.fr 到 genius31419@yahoo.com.tw(203.188.197.10) 失敗 (421 4.7.1 [TS03] All messages from 60.249.189.83 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)[2]
[2010/9/16 下午 07:29:57] SMTP 服務停止啟動於埠號 25

訊息一直跳.....我已經有勾選smtp認證但是我從outlook來發根本沒有認證功能...因為我把 outlook smtp認證給打勾取消結果還是寄出去...

Arnor · 發表於: 星期五九月 17, 2010 7:54 am 文章標題:

相關問題請照這篇做, 逐一檢查
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=17009
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

gramy · 九段 註冊時間: 2007-09-21 文章: 188

素大您好：

這幾天大陸同事發現其公司郵件主機被盜用寄信，
本以為是密碼設置過於簡單的關係，
但我查log，發現盜用寄信的帳號一堆，

再查我公司的的雷電郵件伺服器，
發現也有同樣ip來盜寄郵件的問題，

不知道是否是雷電的漏洞？

目前已暫時封鎖該ip的連線，

相關檔案稍待會再寄給您參考，
謝謝~
=============
與一般正常寄信的cmd記錄好像有些不同？
(正常cmd內發信記錄如下；AUTH LOGIN與帳號是分開記錄在不同行)
2010/09/27:11:05:30 SMTP 10.0.1.139 EHLO PeterL
2010/09/27:11:05:30 SMTP 10.0.1.139 AUTH LOGIN
2010/09/27:11:05:30 SMTP 10.0.1.139 cGV0ZXJs
2010/09/27:11:05:30 SMTP 10.0.1.139 MAIL FROM: <peterl>
2010/09/27:11:05:30 SMTP 10.0.1.139 RCPT TO: <emilyc>
2010/09/27:11:05:30 SMTP 10.0.1.139 RCPT TO: <eva>
2010/09/27:11:05:30 SMTP 10.0.1.139 RCPT TO: <evad>
2010/09/27:11:05:30 SMTP 10.0.1.139 RCPT TO: <peter>
2010/09/27:11:05:30 SMTP 10.0.1.139 DATA

====底下為部份盜寄cmd記錄============
AUTH LOGIN與帳號是記錄在同一行
2010/09/27:00:47:32 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:00:47:32 SMTP 60.190.243.74 AUTH login amFuZWg=
2010/09/27:00:47:32 SMTP 60.190.243.74 MAIL FROM:<janeh>
2010/09/27:00:47:32 SMTP 60.190.243.74 RCPT TO:<ifitj499>
2010/09/27:00:47:32 SMTP 60.190.243.74 DATA

2010/09/27:01:00:00 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:01:00:00 SMTP 60.190.243.74 AUTH login ZGVubmlzeQ==
2010/09/27:01:00:00 SMTP 60.190.243.74 MAIL FROM:<dennisy>
2010/09/27:01:00:00 SMTP 60.190.243.74 RCPT TO:<jzhang>
2010/09/27:01:00:00 SMTP 60.190.243.74 DATA

2010/09/27:01:02:37 POP3 60.190.243.74 USER janeh
2010/09/27:01:02:37 POP3 60.190.243.74 STAT
2010/09/27:01:02:37 POP3 60.190.243.74 TOP 434 1
2010/09/27:01:02:38 POP3 60.190.243.74 TOP 433 1
2010/09/27:01:02:38 POP3 60.190.243.74 TOP 432 1
2010/09/27:01:02:38 POP3 60.190.243.74 TOP 431 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 430 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 429 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 428 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 427 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 426 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 425 1
2010/09/27:01:02:40 POP3 60.190.243.74 QUIT

2010/09/27:01:15:10 POP3 60.190.243.74 USER dennisy
2010/09/27:01:15:10 POP3 60.190.243.74 STAT
2010/09/27:01:15:10 POP3 60.190.243.74 TOP 10 1
2010/09/27:01:15:10 POP3 60.190.243.74 TOP 9 1
2010/09/27:01:15:10 POP3 60.190.243.74 TOP 8 1
2010/09/27:01:15:11 POP3 60.190.243.74 TOP 7 1
2010/09/27:01:15:11 POP3 60.190.243.74 TOP 6 1
2010/09/27:01:15:11 POP3 60.190.243.74 TOP 5 1
2010/09/27:01:15:11 POP3 60.190.243.74 TOP 4 1
2010/09/27:01:15:11 POP3 60.190.243.74 TOP 3 1
2010/09/27:01:15:11 POP3 60.190.243.74 TOP 2 1
2010/09/27:01:15:12 POP3 60.190.243.74 TOP 1 1
2010/09/27:01:15:12 POP3 60.190.243.74 QUIT

2010/09/27:04:01:42 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:04:01:42 SMTP 60.190.243.74 AUTH login eGlheHVlcGVuZw==
2010/09/27:04:01:42 SMTP 60.190.243.74 MAIL FROM:<xiaxuepeng>
2010/09/27:04:01:42 SMTP 60.190.243.74 RCPT TO:<jichangbo>
2010/09/27:04:01:42 SMTP 60.190.243.74 DATA

2010/09/27:04:35:45 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:04:35:45 SMTP 60.190.243.74 AUTH login Z2VvcmdlZw==
2010/09/27:04:35:45 SMTP 60.190.243.74 MAIL FROM:<georgeg>
2010/09/27:04:35:45 SMTP 60.190.243.74 RCPT TO:<wuzongyang>
2010/09/27:04:35:45 SMTP 60.190.243.74 DATA

2010/09/27:04:51:17 POP3 60.190.243.74 USER georgeg
2010/09/27:04:51:18 POP3 60.190.243.74 STAT
2010/09/27:04:51:18 POP3 60.190.243.74 TOP 4 1
2010/09/27:04:51:18 POP3 60.190.243.74 TOP 3 1
2010/09/27:04:51:18 POP3 60.190.243.74 TOP 2 1
2010/09/27:04:51:18 POP3 60.190.243.74 TOP 1 1
2010/09/27:04:51:19 POP3 60.190.243.74 QUIT

2010/09/27:05:23:47 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:05:23:47 SMTP 60.190.243.74 AUTH login d2FuZ2d1b3Fpbmc=
2010/09/27:05:23:47 SMTP 60.190.243.74 MAIL FROM:<wangguoqing>
2010/09/27:05:23:47 SMTP 60.190.243.74 RCPT TO:<szn>
2010/09/27:05:23:47 SMTP 60.190.243.74 DATA

2010/09/27:05:51:34 POP3 60.190.243.74 USER xiaxuepeng
2010/09/27:05:51:34 POP3 60.190.243.74 STAT
2010/09/27:05:51:34 POP3 60.190.243.74 TOP 2 1
2010/09/27:05:51:35 POP3 60.190.243.74 TOP 1 1
2010/09/27:05:51:35 POP3 60.190.243.74 QUIT

2010/09/27:06:13:43 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:06:13:43 SMTP 60.190.243.74 AUTH login aG9sbGVubA==
2010/09/27:06:13:43 SMTP 60.190.243.74 MAIL FROM:<hollenl>
2010/09/27:06:13:43 SMTP 60.190.243.74 RCPT TO:<gaulzhou>
2010/09/27:06:13:43 SMTP 60.190.243.74 DATA

2010/09/27:06:29:00 POP3 60.190.243.74 USER hollenl
2010/09/27:06:29:00 POP3 60.190.243.74 STAT
2010/09/27:06:29:00 POP3 60.190.243.74 TOP 101 1
2010/09/27:06:29:00 POP3 60.190.243.74 TOP 100 1
2010/09/27:06:29:00 POP3 60.190.243.74 TOP 99 1
2010/09/27:06:29:01 POP3 60.190.243.74 TOP 98 1
2010/09/27:06:29:01 POP3 60.190.243.74 TOP 97 1
2010/09/27:06:29:01 POP3 60.190.243.74 TOP 96 1
2010/09/27:06:29:01 POP3 60.190.243.74 TOP 95 1
2010/09/27:06:29:02 POP3 60.190.243.74 TOP 94 1
2010/09/27:06:29:02 POP3 60.190.243.74 TOP 93 1
2010/09/27:06:29:02 POP3 60.190.243.74 TOP 92 1
2010/09/27:06:29:02 POP3 60.190.243.74 QUIT

2010/09/27:07:09:30 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:07:09:30 SMTP 60.190.243.74 AUTH login RnJhbmtD
2010/09/27:07:09:30 SMTP 60.190.243.74 MAIL FROM:<FrankC>
2010/09/27:07:09:30 SMTP 60.190.243.74 RCPT TO:<bestwill041>

2010/09/27:07:45:39 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:07:45:39 SMTP 60.190.243.74 AUTH login am9obno=
2010/09/27:07:45:39 SMTP 60.190.243.74 MAIL FROM:<johnz>
2010/09/27:07:45:39 SMTP 60.190.243.74 RCPT TO:<snowrose963>
2010/09/27:07:45:39 SMTP 60.190.243.74 DATA

2010/09/27:08:00:47 POP3 60.190.243.74 USER johnz
2010/09/27:08:00:47 POP3 60.190.243.74 STAT
2010/09/27:08:00:47 POP3 60.190.243.74 QUIT

2010/09/27:08:18:46 POP3 60.190.243.74 USER FrankC
2010/09/27:08:18:46 POP3 60.190.243.74 STAT
2010/09/27:08:18:47 POP3 60.190.243.74 QUIT

2010/09/27:08:55:32 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:08:55:32 SMTP 60.190.243.74 AUTH login eWFuZ2ppbnFpYW8=
2010/09/27:08:55:32 SMTP 60.190.243.74 MAIL FROM:<yangjinqiao>
2010/09/27:08:55:32 SMTP 60.190.243.74 RCPT TO:<bob>
2010/09/27:08:55:32 SMTP 60.190.243.74 DATA

2010/09/27:09:01:14 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:09:01:14 SMTP 60.190.243.74 AUTH login eWFuZ3poaXRhbw==
2010/09/27:09:01:14 SMTP 60.190.243.74 MAIL FROM:<yangzhitao>
2010/09/27:09:01:14 SMTP 60.190.243.74 RCPT TO:<peiter>
2010/09/27:09:01:14 SMTP 60.190.243.74 DATA

2010/09/27:09:01:59 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:09:01:59 SMTP 60.190.243.74 AUTH login YW5uYWJlbHQ=
2010/09/27:09:01:59 SMTP 60.190.243.74 MAIL FROM:<annabelt>
2010/09/27:09:01:59 SMTP 60.190.243.74 RCPT TO:<scfw>
2010/09/27:09:01:59 SMTP 60.190.243.74 DATA

2010/09/27:09:11:08 POP3 60.190.243.74 USER yangjinqiao
2010/09/27:09:11:08 POP3 60.190.243.74 QUIT

2010/09/27:09:16:58 POP3 60.190.243.74 USER yangzhitao
2010/09/27:09:16:58 POP3 60.190.243.74 QUIT

2010/09/27:09:17:09 POP3 60.190.243.74 USER annabelt
2010/09/27:09:17:09 POP3 60.190.243.74 STAT
2010/09/27:09:17:09 POP3 60.190.243.74 TOP 2 1
2010/09/27:09:17:10 POP3 60.190.243.74 TOP 1 1
2010/09/27:09:17:10 POP3 60.190.243.74 QUIT

2010/09/27:09:39:30 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:09:39:30 SMTP 60.190.243.74 AUTH login YW5keWg=
2010/09/27:09:39:30 SMTP 60.190.243.74 MAIL FROM:<andyh>
2010/09/27:09:39:30 SMTP 60.190.243.74 RCPT TO:<sale02>
2010/09/27:09:39:30 SMTP 60.190.243.74 DATA

2010/09/27:10:10:47 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:10:10:47 SMTP 60.190.243.74 AUTH login ZGFuaWVseQ==
2010/09/27:10:10:47 SMTP 60.190.243.74 MAIL FROM:<daniely>
2010/09/27:10:10:47 SMTP 60.190.243.74 RCPT TO:<704854823>
2010/09/27:10:10:47 SMTP 60.190.243.74 DATA

2010/09/27:11:05:24 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/27:11:05:24 SMTP 60.190.243.74 AUTH login aHV4aW9uZ3dlaQ==
2010/09/27:11:05:24 SMTP 60.190.243.74 MAIL FROM:<huxiongwei>
2010/09/27:11:05:24 SMTP 60.190.243.74 RCPT TO:<szgoldlineyoung>
2010/09/27:11:05:24 SMTP 60.190.243.74 DATA

gramy · 九段 註冊時間: 2007-09-21 文章: 188

補充一下，
兩台雷電均是XP+雷電1916 file update 13

Arnor · 發表於: 星期二九月 28, 2010 11:47 am 文章標題:

60.190.243.74

這個 IP 應該是你公司某個地方來的連線吧.
大陸?

因為他們都統一從這IP出來, 當然若你有開啟SMART SMTP RELAY,
那麼這IP 就擁有轉寄信件的權限了.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

gramy · 九段 註冊時間: 2007-09-21 文章: 188

素大您好：

查過此ip---60.190.243.74
非我公司集團的IP,
(所以也才會把該ip封鎖)

我也會將把smart relay關掉，
再觀察看看，

再次感謝~^_^y

Gram

Arnor · 發表於: 星期二九月 28, 2010 12:18 pm 文章標題:

2010/09/27:01:02:37 POP3 60.190.243.74 USER janeh
2010/09/27:01:02:37 POP3 60.190.243.74 STAT
2010/09/27:01:02:37 POP3 60.190.243.74 TOP 434 1
2010/09/27:01:02:38 POP3 60.190.243.74 TOP 433 1
2010/09/27:01:02:38 POP3 60.190.243.74 TOP 432 1
2010/09/27:01:02:38 POP3 60.190.243.74 TOP 431 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 430 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 429 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 428 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 427 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 426 1
2010/09/27:01:02:39 POP3 60.190.243.74 TOP 425 1
2010/09/27:01:02:40 POP3 60.190.243.74 QUIT

你說這非你集團使用的IP,
但從以上的記錄來看, 這個人的的確確是收過 425 封信之前的信件,
所以它只上來查看新信件 425 之後的內容, 它是設定信件保留在伺服器.

所以我推論這應該是你的大陸同事的行為沒錯的.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

gramy · 九段 註冊時間: 2007-09-21 文章: 188

素大您好：

有跟大陸的同事確認過，確定是非大陸公司的IP，
因為連我公司TW的雷電郵件主機也有同樣類似的log，
(我沒清查整天的log，log是由半夜十二點開始記錄)

覺得怪異的地方在於：
1.除非這些人的電腦都不關機，不然不太可能半夜二、三點起來收發郵件；
且有些同事是配備NB，晚上下班就帶回家了，不可能還會使用同一IP，

2.今天早上在台灣辦公室上班的同事，其帳號發信應該是內網ip
不可能由外部ip寄信才對，(其在大陸沒有電腦、家中也沒有設定收發公司郵件)
卻有此外網ip的發信記錄~

3.EHLO後的「hbkj-24374」是指對方的主機名稱嗎？
不太可能這麼多帳號都是用同一台電腦主機收發郵件...
===================
2010/09/28:08:37:56 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/28:08:37:56 SMTP 60.190.243.74 AUTH login ZW1tYWw=
2010/09/28:08:37:56 POP3 10.2.1.161 RETR 203
2010/09/28:08:37:56 POP3 10.2.1.38 TOP 3 0
2010/09/28:08:37:56 SMTP 60.190.243.74 MAIL FROM:<emmal>
2010/09/28:08:37:56 POP3 10.2.1.38 LIST 3
2010/09/28:08:37:56 SMTP 60.190.243.74 RCPT TO:<dnj>

蛋頭 · 發表於: 星期二九月 28, 2010 3:41 pm 文章標題:

Arnor · 發表於: 星期二九月 28, 2010 4:01 pm 文章標題:

這些記錄的內容都是正常的現象,
動作都像是mail client 軟體的先傳送再檢查新信,
所以, 我是不太認為這是有問題的.

比較有問題的就只有你所說的機器名怎麼會都同一個 EHLO hbkj-24374,
真的是在那台機器上設定了這麼多個帳號來收信?

反正你先把它封住, 到時看看誰會來回報, 沒回報就沒問題.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

蛋頭 · 發表於: 星期二九月 28, 2010 4:12 pm 文章標題:

gramy · 九段 註冊時間: 2007-09-21 文章: 188

素大您好：

昨天早上設定封鎖該ip與取消smart relay後，
已暫時無盜寄郵件狀況，

我往前查dtl檔、cmd檔，(我只查9月01~29日)
相關ip----60.190.243.74
9/16開始即有第一筆盜寄smtp記錄，
(9/16當天也只有一次發信smtp記錄，並無收信pop3記錄)

9/17有第四筆盜寄smtp記錄，
(9/16當天也只有四次發信smtp記錄，並無收信pop3記錄)

...

前幾天只有smtp記錄，
與蛋頭大的狀況一樣，

感覺對方是直接盜寄郵件~@@"
(非透過smart relay盜寄)

後來才開始盜看郵件？
(9/26起才有pop3的記錄)

=============
底下為封鎖後的該ip的dtl記錄檔，
嘗試盜寄的頻率並不高，若高的話，可能會改用firewall直接擋掉吧！

[2010/9/28 上午 11:09:53] [2836] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/28 上午 11:10:03] [2836] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/28 上午 11:40:07] [668] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/28 上午 11:40:17] [668] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/28 下午 01:08:43] [2148] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/28 下午 01:08:53] [2148] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/28 下午 01:30:11] [668] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/28 下午 01:30:21] [668] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線

[2010/9/29 上午 12:50:13] [3480] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 12:50:23] [3480] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 12:57:22] [3480] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 12:57:32] [3480] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 03:09:05] [3352] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 03:09:15] [3352] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 03:46:33] [3352] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 03:46:43] [3352] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 03:54:03] [3352] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 03:54:13] [3352] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 05:32:38] [3712] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 05:32:48] [3712] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 05:47:29] [1652] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 05:47:39] [1652] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 07:06:01] [3352] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 07:06:11] [3352] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線
[2010/9/29 上午 08:32:26] [2808] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/29 上午 08:32:36] [2808] SMTP 服務拒絕從 60.190.243.74 (60.190.243.74) 來的連線

============

9/16該ip連線的dtl記錄
[2010/9/16 下午 03:43:08] [2888] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/16 下午 03:43:09] [2888] 60.190.243.74 要求 SMTP 服務 - 寄信人是 dennisy@abc.com
[2010/9/16 下午 03:43:09] [2888] 60.190.243.74 - 郵件內容已收到 (To:zhengliu.yang@ikang.com) 765 bytes ( 1.4 KB/s)
[2010/9/16 下午 03:43:28] [2888] 傳送郵件從 dennisy@abc.com 到 zhengliu.yang@ikang.com(219.143.32.161) 成功 923 bytes ( 0.9 KB/s)

9/16該ip連線的cmd記錄
2010/09/16:15:43:08 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/16:15:43:09 SMTP 60.190.243.74 AUTH login ZGVubmlzeQ==
2010/09/16:15:43:09 SMTP 60.190.243.74 MAIL FROM:<dennisy>
2010/09/16:15:43:09 SMTP 60.190.243.74 RCPT TO:<zhengliu>
2010/09/16:15:43:09 SMTP 60.190.243.74 DATA

=======================

9/17該ip連線的tl記錄
[2010/9/17 上午 12:09:07] [528] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/17 上午 12:09:08] [528] 60.190.243.74 要求 SMTP 服務 - 寄信人是 huxiongwei@abc.com
[2010/9/17 上午 12:09:09] [528] 60.190.243.74 - 郵件內容已收到 (To:cad@nci-sz.com) 735 bytes ( 1.3 KB/s)
[2010/9/17 上午 12:09:11] [528] 傳送郵件從 huxiongwei@abc.com 到 cad@nci-sz.com(211.150.67.34) 成功 887 bytes ( 0.9 KB/s)

[2010/9/17 上午 12:38:36] [2604] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/17 上午 12:38:36] [2604] 60.190.243.74 要求 SMTP 服務 - 寄信人是 jennyw@abc.com
[2010/9/17 上午 12:38:37] [2604] 60.190.243.74 - 郵件內容已收到 (To:dongcp@500wan.com) 734 bytes ( 1.3 KB/s)
[2010/9/17 上午 12:38:45] [2604] 傳送郵件從 jennyw@abc.com 到 dongcp@500wan.com(123.125.50.214) 失敗 (451 DT:SPM mx4, QNOowKCrVgkRSJJMwPCiFQ--.64726S2, please try again 1284655126 http://mail.163.com/help/help_spam_16.htm?ip=122.146.215.181&hostid=mx4&time=1284655126)

[2010/9/17 上午 12:50:15] [3824] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/17 上午 12:50:16] [3824] 60.190.243.74 要求 SMTP 服務 - 寄信人是 emmal@abc.com
[2010/9/17 上午 12:50:16] [3824] 60.190.243.74 - 郵件內容已收到 (To:helendong@hecntrans.com) 763 bytes ( 1.4 KB/s)
[2010/9/17 上午 12:50:19] [3824] 傳送郵件從 emmal@abc.com 到 helendong@hecntrans.com(121.14.129.76) 失敗 (After 554 this mail is rejected by antispam system, id=entas6-mta.8980.1284655817&date=2010091700)

[2010/9/17 下午 07:46:57] [3992] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/17 下午 07:46:58] [3992] 60.190.243.74 要求 SMTP 服務 - 寄信人是 stellac@abc.com
[2010/9/17 下午 07:46:59] [3992] 60.190.243.74 - 郵件內容已收到 (To:zhuwandong@sunlord.com.cn) 779 bytes ( 1.4 KB/s)
[2010/9/17 下午 07:47:02] [3992] 傳送郵件從 stellac@abc.com 到 zhuwandong@sunlord.com.cn(121.229.176.67) 成功 939 bytes ( 0.9 KB/s)

9/17該ip連線的cmd記錄

2010/09/17:00:09:08 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/17:00:09:08 SMTP 60.190.243.74 AUTH login aHV4aW9uZ3dlaQ==
2010/09/17:00:09:08 SMTP 60.190.243.74 MAIL FROM:<huxiongwei>
2010/09/17:00:09:08 SMTP 60.190.243.74 RCPT TO:<cad>
2010/09/17:00:09:08 SMTP 60.190.243.74 DATA

2010/09/17:00:38:36 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/17:00:38:36 SMTP 60.190.243.74 AUTH login amVubnl3
2010/09/17:00:38:36 SMTP 60.190.243.74 MAIL FROM:<jennyw>
2010/09/17:00:38:36 SMTP 60.190.243.74 RCPT TO:<dongcp>
2010/09/17:00:38:36 SMTP 60.190.243.74 DATA

2010/09/17:00:50:15 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/17:00:50:15 SMTP 60.190.243.74 AUTH login ZW1tYWw=
2010/09/17:00:50:16 SMTP 60.190.243.74 MAIL FROM:<emmal>
2010/09/17:00:50:16 SMTP 60.190.243.74 RCPT TO:<helendong>
2010/09/17:00:50:16 SMTP 60.190.243.74 DATA

2010/09/17:19:46:58 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/17:19:46:58 SMTP 60.190.243.74 AUTH login c3RlbGxhYw==
2010/09/17:19:46:58 SMTP 60.190.243.74 MAIL FROM:<stellac>
2010/09/17:19:46:58 SMTP 60.190.243.74 RCPT TO:<zhuwandong>
2010/09/17:19:46:58 SMTP 60.190.243.74 DATA
===========================

9/18該ip連線的dtl記錄
[2010/9/18 上午 11:05:07] [3360] SMTP 服務接受從 60.190.243.74 來的連線
[2010/9/18 上午 11:05:17] [3360] SMTP 服務不提供轉寄給從 60.190.243.74 來的連線, 從 carina@beyondtechgroup.net 寄到 DOC2SZX@OCEANWAY-ST.COM

9/18該ip連線的cmd記錄

2010/09/18:11:05:07 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/18:11:05:07 SMTP 60.190.243.74 AUTH login Y2FyaW5hQGJleW9uZHRlY2hncm91cC5uZXQ=
2010/09/18:11:05:07 SMTP 60.190.243.74 MAIL FROM:<carina>
2010/09/18:11:05:07 SMTP 60.190.243.74 RCPT TO:<DOC2SZX>

============
9/19該ip無連線記錄

============
9/20~25---略，只有smtp發信記錄
============
9/26開始才含有pop3記錄

2010/09/26:02:52:34 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:02:52:34 SMTP 60.190.243.74 AUTH login amVubnl3
2010/09/26:02:52:34 SMTP 60.190.243.74 MAIL FROM:<jennyw>
2010/09/26:02:52:34 SMTP 60.190.243.74 RCPT TO:<sales4>
2010/09/26:02:52:35 SMTP 60.190.243.74 DATA

2010/09/26:02:58:24 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:02:58:24 SMTP 60.190.243.74 AUTH login ZGVubmlzeQ==
2010/09/26:02:58:24 SMTP 60.190.243.74 MAIL FROM:<dennisy>
2010/09/26:02:58:24 SMTP 60.190.243.74 RCPT TO:<celia_fj>
2010/09/26:02:58:24 SMTP 60.190.243.74 DATA

2010/09/26:03:24:53 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:03:24:53 SMTP 60.190.243.74 AUTH login eWluZmFuZ2xpbg==
2010/09/26:03:24:54 SMTP 60.190.243.74 MAIL FROM:<yinfanglin>
2010/09/26:03:24:54 SMTP 60.190.243.74 RCPT TO:<Tony>
2010/09/26:03:24:54 SMTP 60.190.243.74 DATA

2010/09/26:04:19:38 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:04:19:38 SMTP 60.190.243.74 AUTH login ZW1tYWw=
2010/09/26:04:19:39 SMTP 60.190.243.74 MAIL FROM:<emmal>
2010/09/26:04:19:39 SMTP 60.190.243.74 RCPT TO:<67034226>
2010/09/26:04:19:39 SMTP 60.190.243.74 DATA

2010/09/26:04:52:33 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:04:52:33 SMTP 60.190.243.74 AUTH login eWluZmFuZ2xpbg==
2010/09/26:04:52:33 SMTP 60.190.243.74 MAIL FROM:<yinfanglin>
2010/09/26:04:52:33 SMTP 60.190.243.74 RCPT TO:<shouhou>
2010/09/26:04:52:34 SMTP 60.190.243.74 DATA

2010/09/26:05:42:35 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:05:42:35 SMTP 60.190.243.74 AUTH login c3RlbGxhYw==
2010/09/26:05:42:35 SMTP 60.190.243.74 MAIL FROM:<stellac>
2010/09/26:05:42:36 SMTP 60.190.243.74 RCPT TO:<hcm3171>
2010/09/26:05:42:36 SMTP 60.190.243.74 DATA

2010/09/26:11:44:34 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:11:44:34 SMTP 60.190.243.74 AUTH login aHV4aW9uZ3dlaQ==
2010/09/26:11:44:34 SMTP 60.190.243.74 MAIL FROM:<huxiongwei>
2010/09/26:11:44:34 SMTP 60.190.243.74 RCPT TO:<21hyh>
2010/09/26:11:44:34 SMTP 60.190.243.74 DATA

2010/09/26:15:07:19 SMTP 60.190.243.74 EHLO hbkj-24374
2010/09/26:15:07:19 SMTP 60.190.243.74 AUTH login YW5keWg=
2010/09/26:15:07:19 SMTP 60.190.243.74 MAIL FROM:<andyh>
2010/09/26:15:07:20 SMTP 60.190.243.74 RCPT TO:<aaa8835>
2010/09/26:15:07:20 SMTP 60.190.243.74 DATA

2010/09/26:17:39:42 POP3 60.190.243.74 USER emmal
2010/09/26:17:39:42 POP3 60.190.243.74 STAT
2010/09/26:17:39:42 POP3 60.190.243.74 TOP 646 1
2010/09/26:17:39:42 POP3 60.190.243.74 TOP 645 1
2010/09/26:17:39:43 POP3 60.190.243.74 TOP 644 1
2010/09/26:17:39:43 POP3 60.190.243.74 TOP 643 1
2010/09/26:17:39:44 POP3 60.190.243.74 TOP 642 1
2010/09/26:17:39:44 POP3 60.190.243.74 TOP 641 1
2010/09/26:17:39:44 POP3 60.190.243.74 TOP 640 1
2010/09/26:17:39:45 POP3 60.190.243.74 TOP 639 1
2010/09/26:17:39:45 POP3 60.190.243.74 TOP 638 1
2010/09/26:17:39:45 POP3 60.190.243.74 TOP 637 1
2010/09/26:17:39:46 POP3 60.190.243.74 QUIT

2010/09/26:17:48:47 POP3 60.190.243.74 USER dennisy
2010/09/26:17:48:48 POP3 60.190.243.74 STAT
2010/09/26:17:48:48 POP3 60.190.243.74 TOP 1 1
2010/09/26:17:48:48 POP3 60.190.243.74 QUIT

2010/09/26:17:58:31 POP3 60.190.243.74 USER huxiongwei
2010/09/26:17:58:31 POP3 60.190.243.74 STAT
2010/09/26:17:58:31 POP3 60.190.243.74 TOP 34 1
2010/09/26:17:58:32 POP3 60.190.243.74 TOP 33 1
2010/09/26:17:58:32 POP3 60.190.243.74 TOP 32 1
2010/09/26:17:58:33 POP3 60.190.243.74 TOP 31 1
2010/09/26:17:58:33 POP3 60.190.243.74 TOP 30 1
2010/09/26:17:58:34 POP3 60.190.243.74 TOP 29 1
2010/09/26:17:58:34 POP3 60.190.243.74 TOP 28 1
2010/09/26:17:58:34 POP3 60.190.243.74 TOP 27 1
2010/09/26:17:58:35 POP3 60.190.243.74 TOP 26 1
2010/09/26:17:58:35 POP3 60.190.243.74 TOP 25 1
2010/09/26:17:58:36 POP3 60.190.243.74 QUIT

2010/09/26:18:50:40 POP3 60.190.243.74 USER jennyw
2010/09/26:18:50:41 POP3 60.190.243.74 STAT
2010/09/26:18:50:41 POP3 60.190.243.74 TOP 48 1
2010/09/26:18:50:41 POP3 60.190.243.74 TOP 47 1
2010/09/26:18:50:41 POP3 60.190.243.74 TOP 46 1
2010/09/26:18:50:42 POP3 60.190.243.74 TOP 45 1
2010/09/26:18:50:42 POP3 60.190.243.74 TOP 44 1
2010/09/26:18:50:43 POP3 60.190.243.74 TOP 43 1
2010/09/26:18:50:43 POP3 60.190.243.74 TOP 42 1
2010/09/26:18:50:43 POP3 60.190.243.74 TOP 41 1
2010/09/26:18:50:44 POP3 60.190.243.74 TOP 40 1
2010/09/26:18:50:44 POP3 60.190.243.74 TOP 39 1
2010/09/26:18:50:45 POP3 60.190.243.74 QUIT

2010/09/26:18:51:18 POP3 60.190.243.74 USER andyh
2010/09/26:18:51:18 POP3 60.190.243.74 STAT
2010/09/26:18:51:18 POP3 60.190.243.74 TOP 9 1
2010/09/26:18:51:18 POP3 60.190.243.74 TOP 8 1
2010/09/26:18:51:19 POP3 60.190.243.74 TOP 7 1
2010/09/26:18:51:19 POP3 60.190.243.74 TOP 6 1
2010/09/26:18:51:19 POP3 60.190.243.74 TOP 5 1
2010/09/26:18:51:20 POP3 60.190.243.74 TOP 4 1
2010/09/26:18:51:20 POP3 60.190.243.74 TOP 3 1
2010/09/26:18:51:21 POP3 60.190.243.74 TOP 2 1
2010/09/26:18:51:21 POP3 60.190.243.74 TOP 1 1
2010/09/26:18:51:21 POP3 60.190.243.74 QUIT

2010/09/26:19:22:07 POP3 60.190.243.74 USER stellac
2010/09/26:19:22:07 POP3 60.190.243.74 STAT
2010/09/26:19:22:07 POP3 60.190.243.74 TOP 4 1
2010/09/26:19:22:08 POP3 60.190.243.74 TOP 3 1
2010/09/26:19:22:08 POP3 60.190.243.74 TOP 2 1
2010/09/26:19:22:08 POP3 60.190.243.74 TOP 1 1
2010/09/26:19:22:08 POP3 60.190.243.74 QUIT

2010/09/26:20:05:48 POP3 60.190.243.74 USER andyh
2010/09/26:20:05:49 POP3 60.190.243.74 STAT
2010/09/26:20:05:49 POP3 60.190.243.74 TOP 9 1
2010/09/26:20:05:49 POP3 60.190.243.74 TOP 8 1
2010/09/26:20:05:49 POP3 60.190.243.74 TOP 7 1
2010/09/26:20:05:50 POP3 60.190.243.74 TOP 6 1
2010/09/26:20:05:50 POP3 60.190.243.74 TOP 5 1
2010/09/26:20:05:51 POP3 60.190.243.74 TOP 4 1
2010/09/26:20:05:51 POP3 60.190.243.74 TOP 3 1
2010/09/26:20:05:52 POP3 60.190.243.74 TOP 2 1
2010/09/26:20:05:52 POP3 60.190.243.74 TOP 1 1
2010/09/26:20:05:52 POP3 60.190.243.74 QUIT

2010/09/26:21:12:02 POP3 60.190.243.74 USER dennisy
2010/09/26:21:12:03 POP3 60.190.243.74 STAT
2010/09/26:21:12:03 POP3 60.190.243.74 TOP 1 1
2010/09/26:21:12:03 POP3 60.190.243.74 QUIT

2010/09/26:21:14:50 POP3 60.190.243.74 USER jennyw
2010/09/26:21:14:50 POP3 60.190.243.74 STAT
2010/09/26:21:14:50 POP3 60.190.243.74 TOP 48 1
2010/09/26:21:14:51 POP3 60.190.243.74 TOP 47 1
2010/09/26:21:14:51 POP3 60.190.243.74 TOP 46 1
2010/09/26:21:14:52 POP3 60.190.243.74 TOP 45 1
2010/09/26:21:14:52 POP3 60.190.243.74 TOP 44 1
2010/09/26:21:14:52 POP3 60.190.243.74 TOP 43 1
2010/09/26:21:14:53 POP3 60.190.243.74 TOP 42 1
2010/09/26:21:14:53 POP3 60.190.243.74 TOP 41 1
2010/09/26:21:14:54 POP3 60.190.243.74 TOP 40 1
2010/09/26:21:14:54 POP3 60.190.243.74 TOP 39 1
2010/09/26:21:14:54 POP3 60.190.243.74 QUIT

2010/09/26:21:30:59 POP3 60.190.243.74 USER emmal
2010/09/26:21:30:59 POP3 60.190.243.74 STAT
2010/09/26:21:31:00 POP3 60.190.243.74 TOP 646 1
2010/09/26:21:31:00 POP3 60.190.243.74 TOP 645 1
2010/09/26:21:31:00 POP3 60.190.243.74 TOP 644 1
2010/09/26:21:31:01 POP3 60.190.243.74 TOP 643 1
2010/09/26:21:31:01 POP3 60.190.243.74 TOP 642 1
2010/09/26:21:31:01 POP3 60.190.243.74 TOP 641 1
2010/09/26:21:31:01 POP3 60.190.243.74 TOP 640 1
2010/09/26:21:31:02 POP3 60.190.243.74 TOP 639 1
2010/09/26:21:31:02 POP3 60.190.243.74 TOP 638 1
2010/09/26:21:31:02 POP3 60.190.243.74 TOP 637 1
2010/09/26:21:31:03 POP3 60.190.243.74 QUIT

2010/09/26:21:51:44 POP3 60.190.243.74 USER stellac
2010/09/26:21:51:45 POP3 60.190.243.74 STAT
2010/09/26:21:51:45 POP3 60.190.243.74 TOP 4 1
2010/09/26:21:51:45 POP3 60.190.243.74 TOP 3 1
2010/09/26:21:51:45 POP3 60.190.243.74 TOP 2 1
2010/09/26:21:51:46 POP3 60.190.243.74 TOP 1 1
2010/09/26:21:51:46 POP3 60.190.243.74 QUIT

gramy · 九段 註冊時間: 2007-09-21 文章: 188

素大您好：

這幾天仍是有找到被盜寄的記錄，
雖然每天的盜寄次數不多，
但怕長久下去，郵件服務器ip可能會被列入黑名單的的可能性大增~@@"

盜寄郵件已開始改用嘗試使用不同的ip盜寄信件，

是否仍需要開啟「外寄時，寄件人信箱必須是存在的帳號」才能完全防堵？
(因老板老婆的的isp郵箱在外寄信就只能用別地的ISP發信，所以改設定我司的SMTP認證來發郵件；所以我們公司沒有開啟此選項)

是否有解決之道？
或是只單純的幾個帳號被盜用？通知其改密碼即可？
(我先通知底下幾個帳號改密碼先~@@")
需要再提供其它資料給您參考嗎？

謝謝~
==========
與正常的cmd檔案的比較差異，
正常的是分兩行輸入AUTH LOGIN與BASE 64的記錄帳號
異常的是單行輸入AUTH login與BASE 64的記錄帳號
(還有LOGIN的大小寫不同，有差別嗎？)

==========
節錄盜寄的DTL檔與CMD檔如下：
[2010/10/1 上午 03:52:43] [3452] SMTP 服務接受從 124.42.91.132 來的連線
[2010/10/1 上午 03:52:44] [3452] 124.42.91.132 要求 SMTP 服務 - 寄信人是 hollenl@beyondtechgroup.net
[2010/10/1 上午 03:52:45] [3452] 124.42.91.132 - 郵件內容已收到 (To:huanyangshaiwang@163.com) 729 bytes ( 1.3 KB/s)
[2010/10/1 上午 03:52:46] [3452] 傳送郵件從 hollenl@beyondtechgroup.net 到 huanyangshaiwang@163.com(220.181.12.91) 失敗 (451 DT:SPM mx45, W8CowKC7D4aN6qRM9BgmCg--.814S2, please try again 1285876366 http://mail.163.com/help/help_spam_16.htm?ip=122.146.215.181&hostid=mx45&time=1285876366)

2010/10/01:03:52:44 SMTP 124.42.91.132 EHLO svctag-g4t6v2x
2010/10/01:03:52:44 SMTP 124.42.91.132 AUTH login aG9sbGVubA==
2010/10/01:03:52:44 SMTP 124.42.91.132 MAIL FROM:<hollenl>
2010/10/01:03:52:44 SMTP 124.42.91.132 RCPT TO:<huanyangshaiwang>
2010/10/01:03:52:44 SMTP 124.42.91.132 DATA

[2010/10/1 上午 08:23:58] [2340] SMTP 服務接受從 218.249.27.69 來的連線
[2010/10/1 上午 08:23:58] [2340] 218.249.27.69 要求 SMTP 服務 - 寄信人是 andyh@jmsinc.cn
[2010/10/1 上午 08:23:59] [2340] 218.249.27.69 - 郵件內容已收到 (To:jianaf023@126.com) 690 bytes ( 1.2 KB/s)
[2010/10/1 上午 08:24:01] [2340] 傳送郵件從 andyh@jmsinc.cn 到 jianaf023@126.com(220.181.15.198) 成功 843 bytes ( 0.8 KB/s)

2010/10/01:08:23:58 SMTP 218.249.27.69 EHLO svctag-g4t6v2x
2010/10/01:08:23:58 SMTP 218.249.27.69 AUTH login YW5keWg=
2010/10/01:08:23:58 SMTP 218.249.27.69 MAIL FROM:<andyh>
2010/10/01:08:23:58 SMTP 218.249.27.69 RCPT TO:<jianaf023>
2010/10/01:08:23:58 SMTP 218.249.27.69 DATA

[2010/10/1 下午 08:05:54] [3904] SMTP 服務接受從 218.249.27.69 來的連線
[2010/10/1 下午 08:05:55] [3904] 218.249.27.69 要求 SMTP 服務 - 寄信人是 FrankC@beyondtechgroup.net
[2010/10/1 下午 08:05:56] [3904] 218.249.27.69 - 郵件內容已收到 (To:konami_kmax@126.com) 735 bytes ( 1.3 KB/s)
[2010/10/1 下午 08:06:01] [3904] 傳送郵件從 FrankC@beyondtechgroup.net 到 konami_kmax@126.com(220.181.15.135) 失敗 (451 DT:SPM mx5, I8mowLBLVwOpzqVM311eBA--.554S2, please try again 1285934765 http://mail.163.com/help/help_spam_16.htm?ip=122.146.215.181&hostid=mx5&time=1285934765)

2010/10/01:20:05:54 SMTP 218.249.27.69 EHLO svctag-g4t6v2x
2010/10/01:20:05:55 SMTP 218.249.27.69 AUTH login RnJhbmtD
2010/10/01:20:05:55 SMTP 218.249.27.69 MAIL FROM:<FrankC>
2010/10/01:20:05:55 SMTP 218.249.27.69 RCPT TO:<konami_kmax>
2010/10/01:20:05:55 SMTP 218.249.27.69 DATA

============
2010/10/01:03:58:06 POP3 124.42.91.132 USER hollenl
2010/10/01:03:58:07 POP3 124.42.91.132 STAT
2010/10/01:03:58:07 POP3 124.42.91.132 TOP 5 1
2010/10/01:03:58:07 POP3 124.42.91.132 TOP 4 1
2010/10/01:03:58:08 POP3 124.42.91.132 TOP 3 1
2010/10/01:03:58:08 POP3 124.42.91.132 TOP 2 1
2010/10/01:03:58:08 POP3 124.42.91.132 TOP 1 1
2010/10/01:03:58:09 POP3 124.42.91.132 QUIT

2010/10/01:08:29:08 POP3 124.42.91.132 USER andyh
2010/10/01:08:29:09 POP3 124.42.91.132 STAT
2010/10/01:08:29:09 POP3 124.42.91.132 QUIT

2010/10/01:20:11:02 POP3 218.249.27.69 USER FrankC
2010/10/01:20:11:02 POP3 218.249.27.69 STAT
2010/10/01:20:11:02 POP3 218.249.27.69 TOP 243 1
2010/10/01:20:11:03 POP3 218.249.27.69 TOP 242 1
2010/10/01:20:11:03 POP3 218.249.27.69 TOP 241 1
2010/10/01:20:11:04 POP3 218.249.27.69 TOP 240 1
2010/10/01:20:11:04 POP3 218.249.27.69 TOP 239 1
2010/10/01:20:11:05 POP3 218.249.27.69 TOP 238 1
2010/10/01:20:11:05 POP3 218.249.27.69 TOP 237 1
2010/10/01:20:11:05 POP3 218.249.27.69 TOP 236 1
2010/10/01:20:11:06 POP3 218.249.27.69 TOP 235 1
2010/10/01:20:11:07 POP3 218.249.27.69 TOP 234 1
2010/10/01:20:11:07 POP3 218.249.27.69 QUIT

2010/10/02:10:02:43 POP3 124.42.91.132 USER daniely
2010/10/02:10:02:43 POP3 124.42.91.132 STAT
2010/10/02:10:02:43 POP3 124.42.91.132 QUIT

2010/10/02:22:10:02 POP3 124.42.91.132 USER andyh
2010/10/02:22:10:03 POP3 124.42.91.132 STAT
2010/10/02:22:10:05 POP3 124.42.91.132 QUIT

2010/10/02:12:19:33 POP3 218.249.27.69 USER dennisy
2010/10/02:12:19:33 POP3 218.249.27.69 STAT
2010/10/02:12:19:33 POP3 218.249.27.69 QUIT

2010/10/03:18:23:29 POP3 218.249.27.69 USER JunZ
2010/10/03:18:23:30 POP3 218.249.27.69 STAT
2010/10/03:18:23:30 POP3 218.249.27.69 QUIT

2010/10/02:13:03:58 POP3 218.249.27.69 USER yinfanglin
2010/10/02:13:03:58 POP3 218.249.27.69 STAT
2010/10/02:13:03:58 POP3 218.249.27.69 QUIT

Arnor · 發表於: 星期一十月 04, 2010 10:44 am 文章標題:

還是老話, 我還是認為這些都是你的使用者, 畢竟每個帳號都有POP3 看信的記錄.
既是你的使用者, 寄信本就天經地義, 因為它有密碼可以驗證.

我認為, 盜寄不須要煞費苦心去讀信的...

如果是它中毒, 那麼改密碼我覺得還是會一樣說
如果本就是使用者在寄, 改密碼也還是一樣呀.

我個人是覺得不解的一點是...
你難道無法跟這些同事溝通看看?
是否是他寄給XXX, 確認一下應該不難吧,
寫個信問就知了, 都同公司應該這點事可以確認的了的.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

gramy · 九段 註冊時間: 2007-09-21 文章: 188

素大您好：

有問過幾個在台灣的同事，
該盜寄郵件的記錄時間確定沒有發信記錄，
收信記錄亦同，
(或是在公司內收信，只會出現內部IP的記錄才對)

且若是正常自家的使用者要寄信，
用自家的帳號寄信即可，
不太可能會再另用其它郵件地址發信，
(除了剛有提到因使用isp郵箱限制)

沒問的是主管級的或是大陸同事，
(一開始也想說只是因為Smart Relay開啟的關係...只要關掉就OK了...)

我很認同素大的觀點，
盜寄郵件者應該不會特意去收信查看信件，
但我猜想盜寄者可能其有什麼特別用意？
(測試是否能Smart Relay？...)

這幾天仍是會再觀察，
看是否更改密碼後能有效封鎖，
就怕是如素大所述，是人員的電腦中毒引起帳號密碼盜用，
改了密碼也沒用，仍是會被傳去盜用~@@"

再次感謝~^_^y