Postfix/Dovecot(ssl)/Apache/Roundcube(non-ssl) 設置如何洩露電子郵件地址？

我有一個 linux box 電子郵件伺服器，其中 Postfix 作為 MTA，Dovecot 作為 IMAP 伺服器，Apache 使用 Roundcube 作為 webmail。

在我的 /etc/postfix/aliases 中，我有超過一百個不同的別名，它們在我的域中產生了盡可能多的電子郵件地址。我每個網站使用一個地址，因此我可以輕鬆關閉垃圾郵件出沒的地址。

在我進行此設置的半年左右期間，我收到了來自 2 個來源的 3 封垃圾郵件。因為我確切地知道我在哪裡輸入了這個地址，所以應該很容易查明電子郵件洩露的網站和服務。

但是，據我說，這些來源不太可能是電子郵件賣家。讓他們中的一個人兩次出售我的電子郵件？我聯繫了其中一位消息人士，他們堅持認為他們的系統很嚴密。他們建議可能是我的伺服器正在洩漏。

所以，我的問題是：

我的郵箱洩露電子郵件地址的可能性有多大，如何洩露？

• 我不會在我的系統中的任何地方儲存完全限定的電子郵件地址，除了在我的郵件目錄中。
• 我使用 SSL 連接到 IMAP
• 我不在網路郵件上使用 https

我唯一能想到的是 SMTP 驗證命令，它允許遠端伺服器檢查電子郵件地址是否有效。請參閱http://www.postfix.org/postconf.5.html#disable_vrfy_command。

我從來沒有聽說過 MTA “洩露”電子郵件地址，除非整個伺服器都受到威脅，在這種情況下，他們將獲得您的所有地址，而不僅僅是兩個別名。

我個人覺得更有可能的是：

1. 垃圾郵件發送者只是隨機尋找一個電子郵件地址
2. 知道這些電子郵件地址的公司犯了一個誠實的錯誤

當然，沒有公司會承認洩露您的電子郵件地址，但有時這些事情是偶然發生的。也許他們將您在一大塊文本中的電子郵件地址複製/粘貼到網路表單上，或者您的電子郵件地址可能在轉發給地球一半人口的電子郵件的“抄送”部分。

地獄，它甚至可能是世界某個地方的受感染路由器，您的電子郵件碰巧通過了，而有權訪問路由器的人正在掃描數據包以查找電子郵件地址。

總而言之，3 個人垃圾郵件真的不是太糟糕了。要是我們都能擁有那麼一點垃圾郵件就好了。

引用自：https://serverfault.com/questions/136437