最近同仁常收到病毒郵件,看此封郵件來源竟然是公司發出abc.com.tw,但ip不是公司的,查whois ip是hinet 的,為什麼是由公司mail server 寄出??
1.公司內部有人中毒了嗎?不太可能,因為ip非公司的
2.從218.172.220.138登入公司的web mail嗎? 那不就有帳號被破解了,不然怎麼有辦法寄出信,雖然寄件者都不一樣那應該都是造假的,不過都是同一個同仁收到的
到底要怎麼查??mail server 到底有沒有被入侵?
mail server:Exchange 2003 ,有開Outlook Web Access
卡巴針測到此病毒:Email-Worm.Win32.NetSky.c,而附件party.zip/ party.rtf.com
Microsoft Mail Internet Headers Version 2.0
Received: from abc.com.tw ([218.172.220.138]) by abc.com.tw with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 15 Jul 2011 09:13:47 +0800
From: taiho.tang@msa.hinet.net
To: jack@abc.com.tw
Subject: its me
Date: Fri, 15 Jul 2011 09:20:32 +0800
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=\"----=_NextPart_000_0009_000072D5.0000475E\"
X-Priority: 3
X-MSMail-Priority: Normal
Return-Path: taiho.tang@msa.hinet.net
Message-ID: <MS-SERVERLQ8aZRhQdO00000320@abc.com.tw>
X-OriginalArrivalTime: 15 Jul 2011 01:13:47.0590 (UTC) FILETIME=[72CE9E60:01CC428C]
------=_NextPart_000_0009_000072D5.0000475E
Content-Type: text/plain;
charset=\"Windows-1252\"
Content-Transfer-Encoding: 7bit
------=_NextPart_000_0009_000072D5.0000475E
Content-Type: application/x-zip-compressed;
name=\"party.zip\"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=\"party.zip\"
------=_NextPart_000_0009_000072D5.0000475E--
看起來比較像是伪造你們公司的Domain 從 Internet傳送的病毒郵件
這算是垃圾郵件(病毒 , 木馬 , 釣魚 )的一種傳送方式
OWA的使用情況 , 只是透過 Web再傳送畫面資訊 , 實際傳送郵件的部分還是透過Exchange Server來傳遞郵件 . 所以User在外部網路使用OWA來寄送郵件 , 郵件看起來也會是從內部傳送 .
建議 , 需要啟動一種方式 , 阻止從Internet傳送郵件是使用你們公司的Domain Name.
除非你們有系統或是其他郵件傳遞會透過 Internet的方式在傳遞你們Domain Name的郵件 .
steven1024提到:
需要啟動一種方式 , 阻止從Internet傳送郵件是使用你們公司的Domain Name
,看不太懂,是什麼方式,exchange有這種功能嗎,還是需要什麼軟體或該怎麼做?有沒有比較詳細的說明
但是因為你的Exchange Server是2003,沒辦法使用"反查寄件者Domain信譽"的功能.
這個功能通常就會有效地阻止,但是因為很多公司都沒有做這設定來避免,所以會有一些影響(收不到信)
或是透過其他Mail Server Gateway(軟/硬體)透過規則來定義.
你必須確定你公司郵件不可能透過這個郵件來往內傳送.如果你是Exchange Server因該會在內部直接傳送郵件,不會跑到外部的Mail Server Gateway.這樣你就可以在Internet Gateway定義,(建議一開始先將郵件佇列,一段時間後確認都正確,就可以直接啟動刪除)
寄件者:"@xxx.com.tw" 你們公司網域
收件者:"@xxx.com.tw" 你們公司網域
這樣就可以阻止Internet偽造你們公司的網域寄送郵件到你們公司內部.
請參考!!
是別人使用廣告信發信軟體寄發的
e-mail信箱也是隨機取得的
218.172.220.138是你們公司的IP嗎
若不是就不用緊張了
還是怕的話就
1.檢查一下Mail Server的設定
2.掃病毒與木馬
3.檢查Mail Log看看有沒有異常發送的狀況
很有可能是某位user的密碼被猜到,你可以試試看
1.查詢一下寄送的log,最近哪個帳號對外寄信量爆增
(通常,有收到退信的user的機率比較高)
2.請user變更密碼(密碼複雜一點比較好)
3.把mail server上看起來有問題的queue信刪除
純粹外面寄來的病毒信, 毋需過多聯想.
如果是從webmail登入, mail header應該不是這樣,
就如 steven1024 大提到的:
User在外部網路使用webmail來寄送郵件, 郵件看起來也會是從內部傳送.
然後就看 webmail 是否會將登入來源IP記錄到 mail header 裡(通常會有).
218.172.220.138 是動態IP 218-172-220-138.dynamic.hinet.net ,
公司的mail server除了防毒機制外,
也應該考慮無條件拒收動態IP來的smtp連線請求.