可以限制POP連線數。(因為我們用POP3的User不多，所以才限制頻寬，你可以只限制最大連線數)

可以擋POP3 Login Fail。(以前字典攻擊大概會從開頭A帳號鎖到R開頭(網域帳號登入錯誤鎖定)，用了這個鎖到F開頭)

因為版大提供的資訊不多，無法給予太多幫助麻煩版大告知Mail Server的版本
Fortigate型號，只能從網路上就版大問題google一下，有針對Exchange2003作寄件者阻擋的功能希望有提供一點幫助

只能封鎖攻擊的ip,
來一個封一個.

Q:從小弟當MIS至今，Mail Server已經被攻擊數次
都是POP3攻擊導致Server負荷不了無法收發信

A:貴公司的Mail能否使用SSH方式登入呢？
若可以，則透過SSH登入後，輸入以下指令（mail紀錄檔案可能不一樣，請自行推敲）
tail -f /var/log/mail.info | grep pop
應該會不斷顯示新的POP3連線，並會有顯示IP，可將此IP放在防火牆中阻擋

Q:我是想知道看有無辦法直接從外部防火牆自動去阻擋POP3 attack，
先前用SonicWall UTM不會檔、最近換了Fortigate也不會檔～
該怎麼設定才行？

在規則中(Policy)，先定義Address或是網段，OutSide IP=xxx.xxx.xxx.xxx
可從mail.info中查到
然後再新增一條規則，WAN TO LAN 或是WAN TO DMZ (看Mail主機放哪個Zone囉）
From xxx.xxx.0.0/16 to Mail_Server
service=Any
Policy=Deny
最後，除了規則存檔以外，記得還要將規則的順序調正至最前面or最上頭or在Permit any to any 之前。

Q:麻煩協助了，謝謝

A:不客氣。

目前市場的設備都是被動式服務,一般使用者或MIS遇到問題時常常找不人解決,建議您可以與統威網路科技聯繫,統威為NETWORK-BOX台灣總代理,NETWORK-BOX通過ISO27001及ISO20000認證,提供企業用戶專業資訊安全服務及顧問諮詢,主要全球各地都有資訊安全監控中心,一旦客戶發生問題或是有任何資訊安全需求,統威網路科技均可以提供主動式且更完整的具體解決方案,網址 http://www.network-box.com.tw 及 http://www.network-box.com

實務上AntiSpam Mail 很少會用UTM設備的模組來擔任:
除了效能因素外,管理與報表分析等..功能也不如專用設備,
加上你的Mail Server又屬於專用的系統,可著墨地方不多,
還是考慮一下廠商建議或另加AntiSpam Mail設備來處理

建議購買垃圾郵件過濾器，比較好

哇，真的好久沒有聽到客戶在使用碩琦的主機了
一般攻擊防禦是基本功能，anti-spam gateway也是基本功能選項
所以換mail server或是建一套spam gateway均可

要步要參考瑞鑫資訊mx mail軟體，大概是碩琦保固服務費就可以換了吧
而且完全免費更新與自由配合硬體或是虛擬化支援喔

軟體系統免安裝自動載入記憶體運作
內建自動鏡射硬碟備份功能
支援虛擬化環境節省硬體建置與達成遠端備援
內建網芳備份、匯出功能確保郵件儲存
系統更新無期限限制，三年保障更新服務不中斷
內建垃圾郵件自動學習機制
自由設定置換產品圖示、商標、登入名稱
內建行事曆、公佈欄功能
附加功能完整郵件備份稽核、過濾、審閱、防毒、簡訊等功能
內建支援代收外部信箱功能
自動轉換大檔案傳輸連結方式，強化傳輸效能
內建簡訊功能，可洽簡訊廠商儲值
自行移轉主機、擴充硬體，完全擁有產品授權
內建離線讀取郵件儲存程式
模組化設計，管理分權、完整記錄資訊方便查詢
其他功能詳如產品功能列表
功能完整一機完成企業需求，FTP/Web/webmail/DNS…

防火牆無法阻擋pop3攻擊!建議改用spam mail,台灣目前最常用的幾家spam,有中華數位.baracuda,以及cellopoint;當然還有很多其他家可以考量,但建議若非成本考量,不建議採用mail server含spam的模組.

最快的作法更改pop3加密，並且更改的tcp port，不然就是不要用pop3 services用web mail來做收發,我在客戶端是自己安裝的linux mail,並且做了pop3 認證錯誤阻擋一般只被try 8 次就封鎖對方ip了

根據版大的訊息，我也是用fortigate utm 系列產品，不過基於效能，這一不分我不建議在防牆上做，我是在mail servers處理，目前我的mail server 是open find 公司的mai|2000
給版大參考一下，

使用 FortiGate 80c 表示貴公司的流量應該不是很大。以下的架構提供您參考。

1. 假設區網 IP 為 192.168.1.x，使用 FortiGate DMZ 功能(192.168.2.x)，DMZ 不要使用 NAT，以便追蹤外部真實的 IP 來源。

2. 將 Mail Server 移到 DMZ，假設 IP 為 192.168.2.100。

3. 另外架一台 Mail Gateway 或轉址機，同樣放到 DMZ，假設 IP 為 192.168.2.200。

4. 建立規則 WAN -> 192.168.2.200 開放 SMTP ，轉址機接收外部信件(記得將 MX 指定到這一台)

5. 建立規則 192.168.2.100 -> WAN 開放 SMTP ，Mail Server 寄送外部信件

6. 建立規則 LAN(192.168.1.x) to DMZ (192.168.2.100) ，開放 POP3、 SMTP，內部 user 收發 Email

7. 轉址機收信後，轉寄給 mail server

所以整體的架構就是，對外發布的 MX 紀錄，指向轉址機，而轉址機通常只有 SMTP，並沒有 POP3 功能，同時大部分的轉址機本身就有防垃圾郵件功能，甚至可以外掛防

毒軟體，就算被攻掛了，也不會影響正常 mail server 的運作。

至於內部員工如果到外部要收發信件，建議可以改用 Web Mail，或是 FortiGate 內建的 VPN 功能。

如果要對外開放POP3、 SMTP，還是可能碰到 PORT Scan 之後的 POP3 攻擊，雖然沒有發布 MX Record，只要Port Scan掃到，對方還是會知道這是個 mail server 。

如果要自己架設轉址機，國產的 MX Ready 有免費版，支援 IPv6、垃圾郵件防治與外掛掃毒，可以下載試試。 http://mxready.com

要不要試一下 pfsense 呢??
不用害怕 FreeBSD, pfsense 是已包裝好的套件, 只要安裝好後, IP 設定完即可透過 web 來管理, 功能非常多.
可參考 http://www.pfsense.org , google 一下 pfsense 也有一堆 how-to 教你怎麼做.

我是不清楚貴單位是否是被try 密碼，造成連線過多，導致Mail server無法負荷，如果是的話，依據個人經驗，UTM,Firewall,IPS等....對於POP3的攻擊阻擋能力，效果有限，倒是建議自己用Linux 架設Mail Server，再加上 fail2ban 的套件，此套件對於try 密碼有很大幫助，提供您參考。