iT邦幫忙

0

被盜用網域發送電子郵件

各位大大想請問一下
今日一早就發現有許多退信是來自不同的國外公司
一發現看來不是由我們公司郵件主機發送的
看來是有人使用我們公司的網域而發信
而慘遭大量退信
針對這點各位大大都是如何處理的呢?

魯大 iT邦高手 1 級 ‧ 2009-05-18 11:02:52 檢舉
這個跟之前的「退信攻擊」是不是有相同的地方
還是查一下目前的LOG、設定的SPAM機制、SERVER上的設定..
jamesjan iT邦高手 1 級 ‧ 2009-05-18 12:08:28 檢舉
沒錯,這是退信攻擊的手法
看看 spam filter 有沒有辦法處理
沒有就如同 狐大 說的
定期到 Server 上把死掉的退信殺掉吧
5min iT邦好手 10 級 ‧ 2009-05-19 09:20:26 檢舉
感覺是退信攻擊,上次看到的文章給大家參考,或許有幫助
http://www.openfind.com/taiwan/epaper/20090421/index.html
34
bizpro
iT邦大師 1 級 ‧ 2009-05-18 10:09:24
最佳解答

檢查Email Server的log, 看看是不是有寄出的紀錄, 如果有, 就要查是否中毒(如). 還有smtp的授權方式, 如果沒有, 這是e-mail spoofing, 看看是否得罪了人, 或離職員工搞鬼(我的實際經驗, 抓到了一個). 也要檢查退回信件的原始資訊, 看看有何蛛絲馬跡, 看看有沒有reply-to, 這是檢查spammer的一個簡易的方法.

您使用的Email Server是? 有開啟所有的log嗎? 有關閉不必要的Services和ports嗎?

gooledh iT邦新手 1 級 ‧ 2009-05-18 10:33:58 檢舉

其中一封退信訊息是
Received: from [77.228.31.14] (port=4102 helo=qrquym.comunitel.net) by navi2.webnethost.net with smtp (Exim 4.69) (envelope-from <leatherwork@xxx.com>) id 1M5mCp-0003Lm-Ry for jordan@windrivertaichi.com; Sun, 17 May 2009 15:39:32 -0400

from不是我們公司的ip
看來是被盜用網域名稱了

32
tom6507
iT邦大師 2 級 ‧ 2009-05-18 10:55:29

病毒冒充並不是什麼大不了的事情,退信後應該也回不了原來的信箱,都是堆積在郵件主機上吧,定時把這些逾時的垃圾清掉就好了。

看更多先前的回應...收起先前的回應...
ehawk iT邦研究生 1 級 ‧ 2009-05-19 10:05:48 檢舉

[病毒冒充]的花樣還蠻多種的,樓主這種沒夾帶病毒的垃圾信還算OK啦!

tom6507 iT邦大師 2 級 ‧ 2009-05-19 10:12:19 檢舉

現在都不太用夾帶的方式了,都是給個連結,或者圖片連結讓用戶去點,點了就掛了,昨天我還收到"美國銀行"寄給我的重要通知.....

glennlin iT邦研究生 4 級 ‧ 2009-05-19 10:38:38 檢舉

這種是錯誤的觀念
你應該沒碰到過退信退到讓主機變慢吧!!!

tom6507 iT邦大師 2 級 ‧ 2009-05-19 11:15:30 檢舉

退信攻擊又是另一回事....
這邊我要討論的是:有些病毒會冒充domain來寄信,這種狀況就會變成退信的時候退到原來的domain去

26
glennlin
iT邦研究生 4 級 ‧ 2009-05-18 12:02:59

1.短期間可以先把大量退信的來源ip或網域封鎖住
2.根本上你是應該要檢查你的mail server設定才對
可以上網參考一下如何防止被當成跳板

18
stellayan
iT邦新手 4 級 ‧ 2009-05-19 08:59:56

如果不是由你們Mail server的IP送出去的
只是domain 一樣, 那並不是被relay
可以安裝一些郵件過濾程式在前端攔截
或者定時刪掉這些emails即可

16
557557
iT邦新手 4 級 ‧ 2009-05-19 12:16:09

哇 功力那麼強喔 還可以這樣盜用發信

18
jokera
iT邦新手 3 級 ‧ 2009-05-19 14:54:46

只是冒名發信而已,這可不是"盜用"
就像有人冒大公司xxx總經理名去騙吃騙喝,帳單寄到真的總經理家一樣...
那個是對方Server沒作好收信驗證機制
這種信...只能定期刪掉吧

16
dada
iT邦新手 4 級 ‧ 2009-05-20 17:49:59

大大
有試過 SPF認証嗎?公司最近也有遇到類似的問題, 正在幫mailserver 跟 DNS
設定 SPF,不曉得對你現在的問題有沒有幫助.


網路上解釋:
SPF 的全寫是 Sender Policy Framework,它是一個可以保障域名持有人,免被 spammers 冒充發信的一種機制。做法是在域名的 DNS 內加入 SPF record,說明這個域名只會透過那些主機發送郵件,而 SPF record 的格下為:

v=spf1 [[pre] type [ext] ] … [mod]

如果不熟悉 SPF record 也沒關係,我覺得反正不是經常要用到,在 SPF 的官方網站提供了一個很方便的 SPF WIZARD,它會根據你的設定給出一個 SPF record 的字串,直接加入 DNS 及重新啟動即可。

gooledh iT邦新手 1 級 ‧ 2009-05-21 09:18:25 檢舉

大大我之前也加入了spf record
不過老實說也沒什麼用
因為如果退信的公司沒有使用spf認證
也是一樣的狀況
不過最近幾日已漸無此狀況
可能發到累了吧

我要發表回答

立即登入回答