你的 laravel 网站可能因开启调试模式而暴露 `.env` 文件及 smtp 凭据，导致被恶意利用发送垃圾邮件；立即关闭 `app_debug` 并设为生产环境是首要防御措施。

Laravel SMTP Crack 是一种典型的配置泄露型攻击：攻击者通过构造特定请求（如访问 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 或未授权的调试端点），触发 Laravel 在错误页面或日志中意外输出 .env 内容，进而提取 MAIL_MAILER=smtp 下的 MAIL_HOST、MAIL_PORT、MAIL_USERNAME 和 MAIL_PASSWORD 等敏感信息。你收到的邮件中包含 HOST: mail.wokforge.com、USER 和明文 PASSW，正是攻击者成功窃取并滥用 SMTP 凭据的直接证据。

✅ 核心修复步骤（必须立即执行）：

1. 强制关闭调试模式与开发环境标识
   编辑 .env 文件，确保以下两行严格生效：

   APP_ENV=production
   APP_DEBUG=false

   ⚠️ 注意：仅修改 .env 不够！请运行 php artisan config:clear 清除配置缓存，并确认 Web 服务器（Nginx/Apache）未将 .env 文件设为可公开访问（检查是否禁用 location ~ /\.env { deny all; } 等规则）。

2. 重置所有泄露的凭证

   • 立即登录 mail.wokforge.com 邮箱管理后台，重置 MAIL_USERNAME 对应账户的密码；
   • 若使用第三方 SMTP 服务（如 SendGrid、Mailgun），在对应平台禁用旧 API Key / SMTP 密码，并生成新密钥；
   • 更新 .env 中的 MAIL_PASSWORD，再执行 php artisan config:cache。

3. 增强基础安全防护

   • 检查并移除未使用的调试包（如 barryvdh/laravel-debugbar）在生产环境的注册；
   • 确保 storage/logs/ 目录不可通过 Web 直接访问（Nginx 示例：location /storage/logs { deny all; }）；
   • 启用 Laravel 的速率限制中间件（如 throttle:api）保护登录与邮箱验证等关键接口。

? 额外排查建议：
运行 grep -r "APP_DEBUG=true\|APP_ENV=local" . --include="*.env*" 2>/dev/null 确认无残留测试配置；检查 config/mail.php 是否硬编码了敏感值（应始终从环境变量读取）；启用 Laravel Telescope（仅限开发）或 Sentry（生产）监控异常邮件发送行为。

安全不是一次性配置，而是持续加固的过程。完成上述操作后，该 SMTP Crack 攻击面将被彻底封堵——真正的防线，始于对环境变量的敬畏与对调试模式的零容忍。