如何判断我的邮件系统是否已被入侵？

Question

我的网站管理员万能电子邮件地址开始收到来自各种电子邮件系统的大量“交付状态通知（失败）”回复。每小时 1 次。

显然是垃圾邮件被发送，因为内容是关于药物的。我想弄清楚是否

1) 它不是由我们发送的，但回复字段被设置到我们的站点，因此我们收到了失败通知或 2) 我们的系统已被破坏，它是由我们发送的，损害了我们的声誉。另外 - 如果是这种情况，我应该在哪里解决问题？！

谢谢！

下面是一个例子：

Delivery to the following recipient failed permanently:

 grdchurch@mail.calvinseminary.edu

 Technical details of permanent failure:
 Google tried to deliver your message, but it was rejected by the recipient domain. We         recommend contacting the other email provider for further information about the cause of    this error. The error that the other server returned was: 550 550 5.1.1   <grdchurch@calvinseminary.edu>... User unknown (state 13).

 ----- Original message -----

 Received: by 10.204.152.70 with SMTP id f6mr6872450bkw.7.1341224023720;
 Mon, 02 Jul 2012 03:13:43 -0700 (PDT)
 Received: by 10.204.152.70 with SMTP id f6mr6872447bkw.7.1341224023673;
 Mon, 02 Jul 2012 03:13:43 -0700 (PDT)
 Return-Path: <Ester7CB4674@mysite.com>
 Received: from 94.98.142.218 ([94.98.142.218])
 by mx.google.com with ESMTP id hi9si10538192bkc.151.2012.07.02.03.13.38;
 Mon, 02 Jul 2012 03:13:39 -0700 (PDT)
 Received-SPF: neutral (google.com: 94.98.142.218 is neither permitted nor denied by   best guess record for domain of Ester7CB4674@mysite.com) client-ip=94.98.142.218;
 Authentication-Results: mx.google.com; spf=neutral (google.com: 94.98.142.218 is neither permitted nor denied by best guess record for domain of Ester7CB4674@mysite.com)    smtp.mail=Ester7CB4674@mysite.com
 Date: Mon, 02 Jul 2012 03:13:39 -0700 (PDT)
 Message-Id: <20120702131340.6C18454BE719A3A513E9@USER-PC>
 From: Leslie Browning <Ester7CB4674@mysite.com>
 To: grdchurch <grdchurch@calvinseminary.edu>
 Reply-To: Maryanne Whitehead <Terry1DA24@starlane411.com>
 Subject: For grdchurch
 Mime-Version: 1.0
 Content-Type: text/plain; charset=utf-8
 Content-Transfer-Encoding: 7bit

 best ED meds! Be confident! Buy here http://www.akermedic.ru/

 B3B0ED3F2E14A898C2C644020D7E9A8071
 30DA492A4CF3EB0A0E3DE1371040BE5C81
 4C9CF9C9AC2D7881DACD5D1B0A9A460

Answer 1

我的第一个快速检查是您是否来自沙特阿拉伯，因为“接收自”IP 来自 SA 的家庭 DSL 用户池。如果没有，我的第一直觉就是不，这不是来自你。

其次，您可以检查邮件服务器上的系统日志，看看它是否显示了任何外发邮件。

第三，检查您的路由器是否只允许您的邮件服务器在端口 25 上进行传出活动；受感染的工作站可以以其他方式发送电子邮件，并且它会从您的传出 IP 出现。

第四种是在邮件服务器上运行数据包嗅探器，如果你想验证它没有发送额外的电子邮件，或者插入一个可以在邮件服务器和路由器之间运行 wireshark/tcpdump 的系统以“干净地捕获”网络流量，因为受感染的系统可以隐藏它们在被 rootkit 攻击后正在做的事情。