你的 laravel 应用若暴露了 `.env` 文件且启用了调试模式，攻击者可能通过邮件配置泄露窃取 smtp 凭据并发送恶意邮件；立即禁用调试模式、加固环境配置是首要防御措施。

这是一起典型的 Laravel SMTP Crack 攻击事件：攻击者利用你站点中未受保护的 .env 文件（如通过 http://yoursite.com/.env 直接可访问）或调试信息泄露，获取了 SMTP 邮箱账号、密码、HOST 和端口等敏感配置，并伪造发件人身份批量外发钓鱼/广告邮件——邮件中出现的 LARAVEL SMTP CRACK | HOST: mail.wokforge.com 及完整凭证正是攻击成功的明确证据。

? 立即执行的关键修复步骤

1. 强制关闭调试模式（最紧急）
   编辑 .env 文件，确保以下两行严格设置为生产环境值：

   APP_ENV=production
   APP_DEBUG=false

   ✅ 保存后务必运行 php artisan config:clear 清除配置缓存，否则更改可能不生效。

2. 彻底禁止 .env 文件公网访问

   • Apache 用户：在项目根目录的 .htaccess 中添加：

     
         Order Allow,Deny
         Deny from all
     

   • Nginx 用户：在 server 块中添加：

     location ~ /\.env {
         deny all;
     }

3. 重置所有泄露的凭证

   • 立即登录 mail.wokforge.com 后台，重置该邮箱账户密码；
   • 如使用第三方 SMTP（如 Mailgun、SendGrid），在对应平台轮换 API Key 或 SMTP 密码；
   • 检查 config/mail.php 是否硬编码了敏感信息（❌ 错误做法），应全部移至 .env 并确保其不可访问。

4. 验证服务器安全基线

   • 运行 ls -la 确认 .env 权限为 600 或 640（非 644 或 755）；
   • 检查 storage/logs/laravel.log 是否存在异常邮件发送记录（搜索 Swift_Transport 或 sendmail）；
   • 使用 php artisan tinker 执行 config('mail')，确认输出中无明文密码（密码应由 env('MAIL_PASSWORD') 动态读取）。

⚠️ 注意：仅修改 .env 不足以挽回已泄露的凭证——攻击者可能已利用该账户持续发信数小时。务必同步联系邮件服务商封禁异常 IP，并启用 SMTP 登录二次验证（如支持）。

✅ 后续加固建议

• 启用 Laravel 的 Mail Throttling（Laravel 9+）限制单IP单位时间发信量；
• 在 App\Providers\AppServiceProvider::boot() 中添加日志钩子，监控异常 Mail::send() 调用；
• 将邮件服务迁移至专用事务邮件平台（如 Resend、Postmark），避免自建 SMTP 风险；
• 定期执行 php artisan app:check（需 Laravel 10.28+）或使用 Laravel Security Checker 扫描潜在漏洞。

安全不是功能，而是持续过程。一次 .env 泄露可能引发连锁攻击，而 APP_DEBUG=false 是你防线的第一道闸门——永远不要在生产环境开启调试模式。