最近收到好几封垃圾邮件,根据 Received 头来看,是中国电信湖南省网的一个网段中的多个 IP 地址破解了别人的邮件密码之后,盗用别人的邮件账户发信的。跟中国电信 NMC 沟通了一下,他们说“已经通知客户杀毒”了。电信的这种态度,也不知道是懒得管,还是保护客户;反正他们通知客户之后还继续有类似的垃圾邮件发出来,源端也依然是那个网段。
被盗的账户有 hr@ 的,也有 sales@ 的,基本上都是文科职务名邮箱。只能感叹一下中国的高校教育啊,虽然把 Office 作为大学基础课程,让大家都学会打字和基本的文字处理工具了,但还没用把网络安全纳入基础教学范围,文科专业在这方面尤其欠缺。唉!
此事之后,我也查了一下自己公司的邮件服务器,竟然发现我们的服务器上也有一个账户被盗用。因为这个账户平时就是用于向网站注册用户发通知的,收件人不集中,我也就没太注意。今天偶尔用 postcat 看了一下邮件内容,发现竟然是垃圾邮件!!赶快改掉密码、通知发信人所在IDC(郑州景安、香港 HKCIX 交换中心)。不过这些垃圾 IDC 还不如中国电信,根本不给回复。随后我设置了 header_checks ,检测湖南来的垃圾邮件;又设置了 cron,把 SASL 日志里,非公司所属的 IP 地址找出来,定时发给 postmaster。