電腦中毒濫發垃圾信 & 信箱被盜用濫發垃圾信

上禮拜公司的信箱被盜用，一直濫發垃圾信，導致Mail Server的IP被列入黑名單，造成寄出去的信件一直被退信，處理了好久才搞定，濫發垃圾信的狀況有下列幾種:

1. Mail帳號密碼被破解，盜用者從公司以外的主機發送垃圾信。
2. 公司內的user電腦中毒，從user電腦濫發垃圾信出去。
3. 公司內的user電腦中木馬或被植入後門，Mail帳號密碼被擷取，盜用者從公司以外的主機發送垃圾信。

上述狀況都會一直產生大量的退件訊息，當下一看到有此狀況發生，就要馬上更改信箱的密碼，因為再一直持續下去，Mail Server的IP就會被列入黑名單，就會造成正常的信件被退信。

退信的主旨大概都是寫 Mail delivery failed: returning message to sender 之類的...

以下是我這次發生問題的處理心得:

• 更改密碼後，先不要將新的密碼輸入到user電腦，持續觀察該信箱的退信是否有減少:
1. 如果持續有退信，就代表不是這個信箱被盜用，有可能是A信箱被盜用，而退信的時候，退到B信箱，讓管理者誤以為是B信箱被盜用(駭客也是一直在進步阿!)，這時候就要再去改其他信箱密碼，有時候同一個user會收多個信箱，可以針對相關連信箱去一一檢查。
2. 如果退信有明顯變少，就代表你找到問題的源頭了，後續檢查方式如下:
• 將新密碼輸入到user的電腦，如果沒有再收到退信，就表示只是單純密碼被破解，這是最幸運的狀況，反之，就可能是狀況2或3，就再改一次密碼，然後再去檢查有收該信箱user的電腦，如果是多人共用一個信箱的話，那就累了...你要一台一台去檢查，除非你們公司有架設Syslog Server之類的東西，可以去檢查log，加快尋找問題。

我們公司就是多人共用一個信箱(沒辦法~這是業務需求...)，而且共用信箱還有穿插，例如: user A收A.B信箱，user B收B.C信箱，所以發生問題時，在檢查的時候會花很多時間。如果有人有更好的檢查方法，也可以交流一下。

※問題解決後的幾天內，都有可能再收到退信，主旨應該都會有 delayed 24 hours, delayed 48 hours, delayed 72 hours之類的內容，這是正常的，這是因為有些信在queue裡面等待了那麼久的時間，Server都沒有把信寄出去，最後就把信退回來，一般最多都到72小時後，就不會再收到了。

當你再處理上述狀況的時候，有可能你Mail Server的IP已經被列入黑名單，下一篇我再說明IP被列入黑名單後的處理方式。