[kifhr]

Еще раз спасибо всем.
Молчите все, никто ничего не знает, зато всё пестрит кругом "про способы взлома и защиты",
да только мусор все это.

Наверное, как у Крылова: "а ларчик просто открывался!"
Надо просто позвонить кое-кому, дать кое-кому и "кое-сколько"... и не только "золотой ключик" ко всем ящикам,
а весь мир в кармане.

Опцию "Сессия только с одного IP-адреса" предпочтительно включать всегда. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. При включении этой опции проверяется, что все запросы в сессии идут с того же адреса, с которого она началась, если не с того, то сессия считается неправильной - и отправляет на авторизацию.
Это из справки mail.ru
Значит, кто-то ранее начал сессию с другого IP, я так понимаю?

Тему закрываю