iT邦幫忙

0

如何過濾email偽造寄件人的信件

這幾天都發現有偽造公司內部email帳號的信件
在postfix裡該如何過濾
謝謝

原始標頭

From - Wed Oct 19 16:46:59 2011
X-Account-Key: account1
X-UIDL: 000088ef4da2df1d
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <0-xp@carnival.com>
X-Original-To: AAA@example.com.tw
Delivered-To: AAA@example.com.tw
Received: from smtp.example.com.tw (spam.example.com.tw [192.168.1.2])
	by localhost (Postfix) with SMTP id 3B2AF5C05F;
	Wed, 19 Oct 2011 16:40:24 +0800 (CST)
Received: from smtp.example.com.tw (smtp.example.com.tw [192.168.1.3])
	by spam.example.com.tw (NOPAM 20080502(G2)) with ESMTP id 3023900E
	Wed Oct 19 16:36:54 2011
	(envelope-from <0-xp@carnival.com>)
Received: by smtp.example.com.tw (Postfix, from userid 5001)
	id 0C8B25C07C; Wed, 19 Oct 2011 16:40:24 +0800 (CST)
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on smtp.example.com.tw
X-Spam-Level: 
X-Spam-Status: No, score=-94.3 required=5.0 tests=BAYES_40,RCVD_IN_PBL,
	UNPARSEABLE_RELAY,URIBL_BLACK,URIBL_JP_SURBL,URIBL_WS_SURBL,USER_IN_WHITELIST
	autolearn=no version=3.2.4
Received: from [49.15.15.65] (unknown [49.15.15.65])
	by smtp.example.com.tw (Postfix) with ESMTP id 932B15C05F
	for <AAA@example.com.tw>; Wed, 19 Oct 2011 16:40:21 +0800 (CST)
Received: from  49.15.15.65 (account <AAA@example.com.tw> HELO example.com.tw)
	by example.com.tw (CommuniGate Pro SMTP 5.2.3)
	with ESMTPA id 841233138 for <AAA@example.com.tw>; Wed, 19 Oct 2011 14:10:22 +0530
From: <AAA@example.com.tw>
To: <AAA@example.com.tw>
Subject: hi
Date: Wed, 19 Oct 2011 14:10:22 +0530
MIME-Version: 1.0
Content-Type: text/plain;
	charset="iso-8859-2"
Content-Transfer-Encoding: 7bit
X-Mailer: adkuafmry_41
Message-ID: <9247211853.X5V1QICN226896@jgvxuqbgfbnwcg.jucbgx.va>
X-NOPAM-Status: type=-3;
X-NOPAM-DIAG: 49.15.15.65, luckyheatrs.ru, AbnormalPath,
Greatings my sweety!

My name is Lucy, im  really hot ukrainian girl
I very like the virtual hot meeting.

2 個回答

6
conandexter
iT邦好手 10 級 ‧ 2011-10-21 10:05:36
最佳解答

您好!

建議是內部和外部的SMTP窗口要分開,所以你的Mail Server要掛兩個內部IP,一個給內部的SMTP寄信,假設你外面有台防火牆設定NAT的話,另一個IP就是用來對應給外部SMTP寄信的。

這樣一來內部的SMTP窗口你就能設定成要經過驗證才能使用,
內部就無法偽造寄件人來寄信了。

當然給外部寄信的SMTP窗口可不能設定成要驗證,這樣外面都寄不進來了。

祝您成功!

gsg29 iT邦新手 1 級 ‧ 2011-10-21 13:06:26 檢舉

您好:目前使用dovecot認證才可寄信
但是我試了一下,使用telnet,寄給同網域的人,都可寄出
是否在postfix裡要設定什麼
謝謝

8
shyang
iT邦新手 4 級 ‧ 2011-10-21 12:08:30

看起來像是nopam的系統
如果這種狀況多的話可以看一下防偽的功能有沒有開起來
這樣一來應該能解決你的問題

看更多先前的回應...收起先前的回應...
gsg29 iT邦新手 1 級 ‧ 2011-10-21 13:07:19 檢舉

您好:是有使用nopam,我會再看一下相關設定,謝謝

ayu iT邦研究生 2 級 ‧ 2011-10-24 02:49:00 檢舉

這類假裝是你們自己人的SPAM, 都是預料到,
USER_IN_WHITELIST 這條rule會扣掉很多分,
就算被檢測具高度SPAM特徵, 也會被這條rule扣掉.

有沒有辦法加個自訂的 rule 呢?
X-NOPAM-DIAG: 49.15.15.65, luckyheatrs.ru, AbnormalPath
應該是很好的線索, 但我沒用過NOPAM, 不能提什麼具體建議.

gsg29 iT邦新手 1 級 ‧ 2011-10-25 19:56:58 檢舉

nopam沒辦法自訂規則,只好從postfix header_checks下手
不過對於正規表達示還不熟@@
謝謝你的提醒

shyang iT邦新手 4 級 ‧ 2011-10-28 12:09:01 檢舉

nopam可以設定如果是從外面寄信進來的郵件如果帶的寄件人email帶的是自己公司的網域的話,就會退信給寄件者

gsg29 iT邦新手 1 級 ‧ 2011-10-29 04:10:50 檢舉

hi shyang 可否說明詳細一點,我在nopam的fq裡沒看到這類的訊息
謝謝

我要發表回答

立即登入回答