請教各位前輩
由於公司關於資訊安全的部分做得不是很完善
導致公司最近導入的Exchange Mail Server
對外的IP位址一直被spam網站列入黑名單
導致同事寄給客戶的信件經常被退信
日前已針對公司全部的電腦
安裝防毒軟體並做全面的掃描
而Mail Server對外IP位址的ADSL線路
已在Juniper防火牆上加掛IDS入侵偵測的模組
並且有申請Hinet的資安艦隊郵件守門員
針對從外部近來Mail Server主機的信件做spam
另外也有請同仁針對電子郵件帳號的密碼
設定複雜度較高的密碼
主管認為基本上只要防火牆裝了IDS
內部裝了防毒軟體~加上帳號密碼的複雜化
這樣的防禦工事就能有效避免主機被黑名單
原本有在Mail Server前端加設Mail Spam的構想
但是因為在防火牆上加掛IDS模組已經花了不少錢
所以理所當然的被主管打槍了
想請問的是在防火牆上加掛IDS模組
應該只能偵測IP層的攻擊行為吧
如過像是假借電子郵件帳號對外發送大量垃圾信這類應用層的惡意行為
IDS應該是沒辦法偵測到有效阻擋吧
所以才會有想在Exchange Mail Server前端加掛Spam的構想
還有為了避免Exchange對外IP被列入黑名單時對外送信都無法使用的情形
Exchange有類似智慧型郵件路由的功能嗎~
能讓對外的主機被黑名單時~使用另外的郵件路徑寄信~例如使用ISP業者的主機
還是只能透過有智慧型郵件路由功能的Spam才能達到
還是各位前輩有推薦的可以自己架設的Mail Spam軟體
可以做到偵測內部帳號對外發送大量垃圾信的行為
以及智慧型郵件路由的功能~
還請各位前輩不吝賜教~謝謝
已邀請的邦友 {{ invite_list.length }}/5
對於Exchange Server
沒好感
當年我用Exchange Server 5.5
不管你是用黑名單還是白名單永遠都設不完
在FreeBSD或Lunix下有一堆Mail Server套件可以用
(Mail帳號愛開幾個都可以)
Exchange Server 的Mail帳號最初是跟Windows帳號綁在一起
(後來與AD綁在一起)
這代表你要多設幾個Mail帳號, 要多花錢買授權
建議導入 中華數位的 防垃圾郵件主機(Anti-SPAM) 與 郵件歸檔與稽核主機(MSE),
可以透過Anti-SPAM 過濾垃圾郵件、病毒郵件、釣魚郵件及部份APT攻擊的郵件,
加上郵件歸檔與稽核主機,可以幫你備份Mail的郵件,以防user誤刪郵件,還可以
針對敏感個資做前稽核或是後稽核,如果有個資事件需要調閱mail紀錄,也可將相關
資料作成一片光碟,供法官與數位鑑定判讀。
不知道你是哪套Exchange
你做的大部份屬於主機與網路防禦
這很好
但不是被列黑名單的真正理由
主要是被檢舉濫發信件
所以除了之前的作為
還要關心是否開啟open relay的問題
google上面很多資料可以看
限制單一信件收件者上限
應該是每種Mail server的基本功能
但這僅治標
定期的查LOG, 看報表也該知道哪邊的收發有異狀
就可回頭再查更詳細的原因
而SMTP relay給ISP主機代發信件是一種方式
這應該不難
不過...比如說hinet來講
世界顧人怨指數也很高
(http://www.techbang.com/posts/12720-not-the-illusion-global-network-over-the-past-week-really-slow-because-hackers-attacked-the-butterfly-effect)
不見得不會被踢進RBL
謝謝您的建議
之所以會在防火牆上加裝IDS模組
是因為公司之前有被Hinet告知
有國外的公司請Hinet轉達
我們公司對外的IP有對該公司作攻擊行為
研判公司內部有電腦中殭屍病毒
而Hinet資安艦隊上
也有公司對外IP遭到POP3暴力攻擊的記錄
所以才加掛IDS模組針對攻擊行為做防禦
目前IDS還在適用的階段還沒正式採購
目前公司導入的是Exchange 2010的版本
關於Open Relay的部分
已經在集線傳輸伺服器上的接收連接器
設定禁止Open Relay了
我也了解被列入黑名單的主因是濫發信件
有想說針對單一郵件帳號
偵測它如果短時間內大量發送信件的行為
就把該帳號Block住
而這部分IDS好像沒辦法偵測
所以才想說前端架Anti Spam做偵測的行為
或是做智慧型的郵件路由
但礙於主管以花費過多為由否定的Anti Spam的建議
才想說自己來架設Anti Spam主機
不好意思~如果目前的狀況先捨IDS模組的部分
而將經費用在Anti Spam的主機上
您覺得可行嗎?謝謝
(因為線路基本上已經有先用Hinet資安艦隊的IDS先過濾從外對內的攻擊行為了
在防火牆上加掛IDS模組是為了補強Hinet IDS第一道防線的漏網之魚~
以及偵測從內部網路對外的攻擊行為)
出去的流量先做anti-spam
技術上可不可行請問廠商
概念上應該可以, 但我依然不推薦
因為這仍然只是治標
既然花了錢
就盡可能要去治本
從源頭去處理掉
不然你錢都花在治標上面就飽了
(anti-spam還要維護與汰舊費用, 如果功效只是這樣真的很浪費)
我認為
人的問題要先處理
人對了
事才會對
這個人, 可能是你, 可能是廠商
看你如何解讀
不是很了解您所謂的治本指的是哪方面?
因為目前公司已從內部徹底掃毒和安裝防毒軟體
以及在防火牆上掛載IDS模組後
Exchange主機被列入黑名單的情況
到最近為止已經沒有再發生了
之所以想在Exchange主機前端加設anti spam主機
是為了預防內部帳號被盜而產生大量濫發信件的行為
不過穩定下來後~上述的疑慮發生機會應該比較小
目前看來是沒有anti spam這方面迫切的需要了
還是謝謝您的建議
治本就是找到根源
你沒有去看LOG或報表
先做好原因研判
就去添購各式設備只為阻檔這種異象
就像是治水時去把河給填滿了
一種沒有河就不會發生水患了的意思很像
事實上你也搞不清楚這樣做對不對
到底是好了還是沒好
造成黑名單的原因
事前有先做好相關的設定
例如關閉Open Relay,Mail DNS的反解等等
當Exchange主機被列入黑名單時
有針對哪個時間點的前後
查詢過相關郵件進出記錄的Log
但是並沒有發現到有那個號有異常往外濫發信件的情況
而中華電信資安艦隊的IDS部分~有在那個時間點
通知說Exchange主機對外的IP位址遭到POP3暴力攻擊記錄
因為中華電信有提到只能做到50%的防禦
所以才會多在防火牆上多加一道IDS的服務
綜合推論因該是密碼原則過於鬆散
以及公司內部電腦原先並沒有做好防毒的機制
(因為我本身也是初來乍到沒多久)
才導致黑名單的結果~之後已針對這部分補強
情況已經獲得改善~目前還沒有黑名單的情形
只是感覺這樣還不太保險~
所以才會請教各位還有哪些地方是可以加強的
非常感謝您的意見
小弟發表一下個人的淺見,
1.先確定Mail Server被列入黑名單的真正原因
(如:openrelay,mailbox的帳/密被猜到,等等...可能被轉發大量垃圾信的原因)
2.反垃圾郵件設定都設一設
(如:mail server ip DNS反解,spf記錄等等...)
3.確定mail server smtp out的ip是DNS上反解mail server的public ip
(有些對方的mail server或spam設備會設DNS反查,常遇到因經過firewall
nat後的ip不是mail sever的public ip)
4.確定以上問題都解決,向各列入黑名單spam網站申訴
(如果不多的話...呵)
5.若太多,就換個ip <=但先確定該ip沒被列黑名單
(有時spam網站會block整個ip domain)
以上..
SMTP (Simple Mail Transfer Protocol, SMTP) protocal 顧名思義便是簡單的, 它早已被SPAM 集團破解, SPAM只要假借寄信就可以堂而皇之的突破各種封鎖。 將 Mail server 躲在Anti Spam後面由Anti SPAM server來擋信是目前較為可靠的方式。
mail server被當成跳板寄廣告信與病毒是兩回事,不能將之列為病毒來防預。
推薦作法與流程給你參考~
1.既然上了黑名單,退信會有連結,去申請改善與解除先
2.要讓郵件系統先正常,可以先換IP與MX解析順便設定反解
3.找出亂源,通常郵件紀錄中都有可以發現大量發信的來源不管是內外、中毒,密碼被猜中等,因為解決方式不同
上面有些建議,但個人意見如下~
1.架構IPS等,主要是針對網路侵入等行為,如果是密碼猜中,屬正常發送,應該沒有用
2.架構 anti-spam 是外對內,內部寄送垃圾信,通常廠商沒將架構導過去,就從mail走gateway出去,基本上是無效的,就算有通常設了白清單內部IP與smart relay 也對此無效
3.資安艦隊就更不用講啦,基本上是紗窗,沒有任何作用
推薦方式,還是要從mail server 著手~
1.不換IP,可以先合法relay到上層,先將 outbound mail 走其他路徑
2.清查紀錄~確認來源
3.查看現有信件駐列有無異常
4.加強密碼驗證強度、更換週期等管理
5.設定郵件QOS防禦與異常警訊通知
以上標準功能,可以參考瑞鑫資訊 MX MAIL系統
riches88提到:
http://www.richesinfo.com.tw
這兩個國外黑名單spam網站 mail server ip黑名單查詢網站
給你參考看看
http://mxtoolbox.com/blacklists.aspx
http://www.dnsbl.info/dnsbl-database-check.php
以前有管理過mail server
強烈建議 主機前端要有Anti Spam 過濾主機
mail server 內部
以前管理的經驗,現在一般都是電腦的user 密碼被猜測到
造成mail account 被relay 然後發大量的垃圾信件
如果有pop3 連線,強烈建議做 ssl 加密的方式連線
當有異常行為發送大量信件時, 建議可以先查詢log
帳號的retry 次數 建議設定 5次,外部建議就只使用webmail 收信
或是有辦法針對帳號做稽核log 當有 異常行為
能夠發信通知管理者.
以上提供你參考:
防火牆先列一條擋連到外部所有IP的25port....
昨天還遇到一個case ..主機寄沒多少郵件..
但是被擋信了....推測又是內部在作怪..
iThome鐵人賽
看影片追技術