【经验分享】如何快速发现发垃圾邮件的用户？

山坛兄弟 · 发表于 2011-7-14 18:06:32

最近一直在管理一个邮件服务器，上面也有我自己的两个邮局，一个是公司的域名，一个是个人的。服务器一直还算是很稳定的，就是服务商的主机上难免会有新开的邮局发送垃圾邮件导致IP进入黑名单的情况。现在已经是第三次出现了，以前的两次发现的用户域名已经全部禁止，大不了退款，讨厌这些借助我们的资料发送垃圾邮件的人。

因为公司的邮件往往需要发送到国外，所以一旦被列入黑名单就会被退信，严重影响了业务。服务商很好，说邮局按我的意愿管理，不要过火即可。前天开始，发现IP再次被列入了黑名单，实在是恼火了，发誓要揪出那家伙！以前看日志，看的头都大了，因为上面的邮局多，用户也多，日志自然也就很大，一页一页看，查找起来实在头疼。

今天发现了一个简单的方法，和大家分享一下：
用360浏览器登录邮局，进入日志管理页，按住CTRL键在新窗口中打开日志（在资源使用中将日志分页设置为500K左右），按CTRL+F，出现查找，输入“成功发送”回车开始查找。

这时你就可以快速发现乱发垃圾的人了！看哪个用户发的最多，特别是发往QQ的，基本就是罪魁祸首了！

[ 本帖最后由山坛兄弟于 2011-8-25 19:22 编辑 ]

leoboy · 发表于 2011-9-13 17:06:59

还是你牛a！

thethe9 · 发表于 2011-9-14 15:30:08

帅哥你用的确定是 WinWebMail

山坛兄弟 · 发表于 2011-9-14 20:42:08

原帖由 thethe9 于 2011-9-14 15:30 发表
帅哥你用的确定是 WinWebMail

说得已经很详细了，按照那么简单的步骤都还有问题？

jitwanna · 发表于 2011-9-15 15:05:56

山坛兄弟，的方法适合邮件账号用户少的邮局服务器，还有个办法
开启邮件监控功能，选择所有用户，通过web登录，可以监控邮件收发情况。瞬间发送出去数量较大，且伪造内容的邮件基本都是垃圾邮件了。

风恬月朗 · 发表于 2011-9-23 15:02:47

下面这种情况的很容易发现，查询ptr记录不存在，直接就加入黑名单了。
-------------------------------------------------------
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [115.63.10.44] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:23 [89.108.71.83] 关闭连接.
Thu, 22 Sep 2011 00:14:23 Smtp登录. IP: 58.44.115.26 , Port 4550
Thu, 22 Sep 2011 00:14:24 Smtp登录. IP: 58.44.115.26 , Port 4582
Thu, 22 Sep 2011 00:14:24 Smtp登录. IP: 58.44.115.26 , Port 4618
Thu, 22 Sep 2011 00:14:25 Smtp登录. IP: 58.44.115.26 , Port 4661
Thu, 22 Sep 2011 00:14:25 Smtp登录. IP: 58.44.115.26 , Port 4702
Thu, 22 Sep 2011 00:14:26 Smtp登录. IP: 58.44.115.26 , Port 4740
Thu, 22 Sep 2011 00:14:26 Smtp登录. IP: 61.153.23.130 , Port 35024
Thu, 22 Sep 2011 00:14:26 Smtp登录. IP: 58.44.115.26 , Port 4793
Thu, 22 Sep 2011 00:14:26 Smtp登录. IP: 58.44.115.26 , Port 4838
Thu, 22 Sep 2011 00:14:27 Smtp登录. IP: 58.44.115.26 , Port 4865
Thu, 22 Sep 2011 00:14:27 Smtp登录. IP: 58.44.115.26 , Port 4908
Thu, 22 Sep 2011 00:14:27 灰名单功能关闭来自 IP: 112.81.102.240 的Smtp连接.
Thu, 22 Sep 2011 00:14:28 Smtp登录. IP: 58.44.115.26 , Port 4962
Thu, 22 Sep 2011 00:14:28 Smtp登录. IP: 58.44.115.26 , Port 1034
Thu, 22 Sep 2011 00:14:29 Smtp登录. IP: 58.44.115.26 , Port 1066
Thu, 22 Sep 2011 00:14:29 Smtp登录. IP: 46.105.102.170 , Port 35072
Thu, 22 Sep 2011 00:14:29 Smtp登录. IP: 93.78.128.100 , Port 3226
Thu, 22 Sep 2011 00:14:29 Smtp登录. IP: 58.44.115.26 , Port 1098
Thu, 22 Sep 2011 00:14:29 Smtp登录. IP: 58.44.115.26 , Port 1138
Thu, 22 Sep 2011 00:14:30 Smtp登录. IP: 58.44.115.26 , Port 1170
Thu, 22 Sep 2011 00:14:30 成功发送邮件到 [gmail.com]
Thu, 22 Sep 2011 00:14:30 Smtp登录. IP: 58.44.115.26 , Port 1201
Thu, 22 Sep 2011 00:14:31 Smtp登录. IP: 58.44.115.26 , Port 1233
Thu, 22 Sep 2011 00:14:31 灰名单功能关闭来自 IP: 46.105.102.170 的Smtp连接.
Thu, 22 Sep 2011 00:14:31 Smtp登录. IP: 58.44.115.26 , Port 1271
Thu, 22 Sep 2011 00:14:31 Smtp登录. IP: 58.44.115.26 , Port 1305
Thu, 22 Sep 2011 00:14:32 Smtp登录. IP: 58.44.115.26 , Port 1344
Thu, 22 Sep 2011 00:14:32 Smtp登录. IP: 58.44.115.26 , Port 1384
Thu, 22 Sep 2011 00:14:33 Smtp登录. IP: 58.44.115.26 , Port 1409
Thu, 22 Sep 2011 00:14:33 Smtp登录. IP: 58.44.115.26 , Port 1439
Thu, 22 Sep 2011 00:14:33 成功发送邮件到 [hotmail.com]
Thu, 22 Sep 2011 00:14:34 Smtp登录. IP: 58.44.115.26 , Port 1465
Thu, 22 Sep 2011 00:14:34 Smtp登录. IP: 58.44.115.26 , Port 1505
Thu, 22 Sep 2011 00:14:34 Smtp登录. IP: 58.44.115.26 , Port 1529
Thu, 22 Sep 2011 00:14:35 灰名单功能关闭来自 IP: 61.153.23.130 的Smtp连接.
Thu, 22 Sep 2011 00:14:35 Smtp登录. IP: 58.44.115.26 , Port 1555
Thu, 22 Sep 2011 00:14:35 Smtp登录. IP: 58.44.115.26 , Port 1584
Thu, 22 Sep 2011 00:14:36 Smtp登录. IP: 58.44.115.26 , Port 1621
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 Smtp登录. IP: 58.44.115.26 , Port 1656
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:36 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:37 [58.44.115.26] 关闭连接.
Thu, 22 Sep 2011 00:14:38 成功发送邮件到 [live.cn]
Thu, 22 Sep 2011 00:14:42 成功发送邮件到 [qq.com]
Thu, 22 Sep 2011 00:14:46 成功发送邮件到 [hotmail.com]
------------------------------------------------------------------

但是下面这种情况我就看不出来是哪个ip发的：（带###的行）
--------------------------------------------------------
Thu, 22 Sep 2011 01:10:08 Smtp登录. IP: 222.73.37.29 , Port 3011
Thu, 22 Sep 2011 01:10:10 [115.63.13.153] 关闭连接.
Thu, 22 Sep 2011 01:10:10 [222.35.141.104] 关闭连接.
Thu, 22 Sep 2011 01:10:10 Pop3登录. IP: 115.182.33.113 , Port 53991
Thu, 22 Sep 2011 01:10:11 POP3登录成功. 用户: SALESSH [115.182.33.113]
Thu, 22 Sep 2011 01:10:11 Smtp登录. IP: 183.35.210.10 , Port 3122
###Thu, 22 Sep 2011 01:10:11 成功发送邮件到 [jarmsw.com]
Thu, 22 Sep 2011 01:10:11 用户: salessh [115.182.33.113] 退出POP3服务.
###Thu, 22 Sep 2011 01:10:12 成功发送邮件到 [hotmail.com]
Thu, 22 Sep 2011 01:10:12 [115.182.33.113] 关闭连接.
Thu, 22 Sep 2011 01:10:25 拒收一封邮件, 原因: IP地址[118.126.5.136]存在于动态灰名单不良列表中.
Thu, 22 Sep 2011 01:10:25 灰名单策略拒绝一次Smtp连接. IP: 118.126.5.136, Port: 4369
Thu, 22 Sep 2011 01:10:25 [183.35.210.10] 关闭Smtp连接.
Thu, 22 Sep 2011 01:10:29 [222.73.37.29] 关闭连接.
Thu, 22 Sep 2011 01:10:29 [183.35.210.10] 关闭连接.
###Thu, 22 Sep 2011 01:10:33 成功发送邮件到 [ffi.no]
###Thu, 22 Sep 2011 01:10:41 成功发送邮件到 [qq.com]
-----------------------------------------------------------

山坛兄弟 · 发表于 2011-9-24 10:50:35

多个SMTP同时登陆的时候，确实不容易判断出是那个IP发的，这是软件本身的BUG，不过我们找发垃圾的，跟这个关系不大，主要看前面的 XXX通过了身份验证

[ 本帖最后由山坛兄弟于 2011-9-24 10:51 编辑 ]

风恬月朗 · 发表于 2011-9-26 14:35:27

XXX通过了身份验证，学习了。

		自动登录	找回密码
密码			会员注册

[经验] 【经验分享】如何快速发现发垃圾邮件的用户？

应用这个方法的问题，请教