iT邦幫忙

0

Mail Server對外IP被列入黑名單

請教各位前輩
由於公司關於資訊安全的部分做得不是很完善
導致公司最近導入的Exchange Mail Server
對外的IP位址一直被spam網站列入黑名單
導致同事寄給客戶的信件經常被退信

日前已針對公司全部的電腦
安裝防毒軟體並做全面的掃描

而Mail Server對外IP位址的ADSL線路
已在Juniper防火牆上加掛IDS入侵偵測的模組
並且有申請Hinet的資安艦隊郵件守門員
針對從外部近來Mail Server主機的信件做spam

另外也有請同仁針對電子郵件帳號的密碼
設定複雜度較高的密碼

主管認為基本上只要防火牆裝了IDS
內部裝了防毒軟體~加上帳號密碼的複雜化
這樣的防禦工事就能有效避免主機被黑名單

原本有在Mail Server前端加設Mail Spam的構想
但是因為在防火牆上加掛IDS模組已經花了不少錢
所以理所當然的被主管打槍了

想請問的是在防火牆上加掛IDS模組
應該只能偵測IP層的攻擊行為吧
如過像是假借電子郵件帳號對外發送大量垃圾信這類應用層的惡意行為
IDS應該是沒辦法偵測到有效阻擋吧
所以才會有想在Exchange Mail Server前端加掛Spam的構想

還有為了避免Exchange對外IP被列入黑名單時對外送信都無法使用的情形
Exchange有類似智慧型郵件路由的功能嗎~
能讓對外的主機被黑名單時~使用另外的郵件路徑寄信~例如使用ISP業者的主機
還是只能透過有智慧型郵件路由功能的Spam才能達到

還是各位前輩有推薦的可以自己架設的Mail Spam軟體
可以做到偵測內部帳號對外發送大量垃圾信的行為
以及智慧型郵件路由的功能~
還請各位前輩不吝賜教~謝謝

看更多先前的討論...收起先前的討論...
冒昧確認一下
open relay 關掉了嗎
疑惑
hsuehlien iT邦新手 4 級 ‧ 2013-04-03 00:47:23 檢舉
open relay已經在接收連接器上面設定好關閉了
嗯...我想也是

如果 open relay 已經關掉
那麼至少擋掉一半外來的問題了
筆記
外賊易擋
家賊難防

我自己沒用過
所以不知道 Exchange 內建的 Anti-Spam 適不適用
提供參考
philiplei iT邦新手 5 級 ‧ 2013-04-03 10:17:18 檢舉
我也遇到black list 問題,
在http://www.spamrats.com/上查到自家的IP:
RATS-Dyna - On the list. Worst Offender Alert
有用對方的removal text 去做清除,
清除後在removal text 上再查找說:That IP Address is not listed.
但在check IP 上還是看到On the list.不知為什麼
不好用,敏感度太高,信件都被擋掉,
敏感度太低,垃圾信都會進來,
所以不好用?
zuyan iT邦好手 1 級 ‧ 2015-03-25 00:51:26 檢舉
路過一樣的問題...沒法移
hon2006 iT邦大師 1 級 ‧ 2015-03-25 09:28:22 檢舉
上網的ip要跟主機的ip要分開,
防火牆除了郵件主機禁止對外寄信,
在外部寄信收信要透過vpn連進來(包括webmail).
10
player
iT邦大師 1 級 ‧ 2013-04-02 18:49:31
最佳解答

對於Exchange Server
沒好感
當年我用Exchange Server 5.5
不管你是用黑名單還是白名單永遠都設不完

在FreeBSD或Lunix下有一堆Mail Server套件可以用
(Mail帳號愛開幾個都可以)

Exchange Server 的Mail帳號最初是跟Windows帳號綁在一起
(後來與AD綁在一起)
這代表你要多設幾個Mail帳號, 要多花錢買授權

u8526425 iT邦大師 1 級 ‧ 2013-04-02 22:57:40 檢舉

MS最麻煩的就是各式各樣的CAL
至少你Windows Server本身不要搞什麼CAL嘛
亂麻煩一把的

8
richardsuma
iT邦大師 3 級 ‧ 2013-04-02 17:41:42

建議導入 中華數位的 防垃圾郵件主機(Anti-SPAM) 與 郵件歸檔與稽核主機(MSE),
可以透過Anti-SPAM 過濾垃圾郵件、病毒郵件、釣魚郵件及部份APT攻擊的郵件,
加上郵件歸檔與稽核主機,可以幫你備份Mail的郵件,以防user誤刪郵件,還可以
針對敏感個資做前稽核或是後稽核,如果有個資事件需要調閱mail紀錄,也可將相關
資料作成一片光碟,供法官與數位鑑定判讀。

hsuehlien iT邦新手 4 級 ‧ 2013-04-03 00:54:21 檢舉

感謝您的回應~我也有跟主管提過用中華數位的Anti-Spam主機
但是基本上主管認知是:
只要在防火牆上加IDS模組就可以解決
如果還會被列入黑名單~就是內部中毒所造成的
所以才要我每台電腦裝防毒軟體和掃毒
所以不贊成再花錢上Anti Spam上
才會想說自己架設Mail Spam

你考慮的不應只是採購成本,還有管理成本、使用成本、學習成本?
如果發生問題時的解決成本與不能使用時的成本,或許你會比較知道,
到底是自己架Server,還是有人幫你維護的會比較好?

16
u8526425
iT邦大師 1 級 ‧ 2013-04-02 23:12:02

不知道你是哪套Exchange
你做的大部份屬於主機與網路防禦
這很好
但不是被列黑名單的真正理由
主要是被檢舉濫發信件
所以除了之前的作為
還要關心是否開啟open relay的問題
google上面很多資料可以看

限制單一信件收件者上限
應該是每種Mail server的基本功能
但這僅治標
定期的查LOG, 看報表也該知道哪邊的收發有異狀
就可回頭再查更詳細的原因

而SMTP relay給ISP主機代發信件是一種方式
這應該不難
不過...比如說hinet來講
世界顧人怨指數也很高
(http://www.techbang.com/posts/12720-not-the-illusion-global-network-over-the-past-week-really-slow-because-hackers-attacked-the-butterfly-effect)
不見得不會被踢進RBL

看更多先前的回應...收起先前的回應...
hsuehlien iT邦新手 4 級 ‧ 2013-04-03 01:20:44 檢舉

謝謝您的建議
之所以會在防火牆上加裝IDS模組
是因為公司之前有被Hinet告知
有國外的公司請Hinet轉達
我們公司對外的IP有對該公司作攻擊行為
研判公司內部有電腦中殭屍病毒
而Hinet資安艦隊上
也有公司對外IP遭到POP3暴力攻擊的記錄
所以才加掛IDS模組針對攻擊行為做防禦
目前IDS還在適用的階段還沒正式採購

目前公司導入的是Exchange 2010的版本
關於Open Relay的部分
已經在集線傳輸伺服器上的接收連接器
設定禁止Open Relay了
我也了解被列入黑名單的主因是濫發信件
有想說針對單一郵件帳號
偵測它如果短時間內大量發送信件的行為
就把該帳號Block住
而這部分IDS好像沒辦法偵測
所以才想說前端架Anti Spam做偵測的行為
或是做智慧型的郵件路由
但礙於主管以花費過多為由否定的Anti Spam的建議
才想說自己來架設Anti Spam主機

不好意思~如果目前的狀況先捨IDS模組的部分
而將經費用在Anti Spam的主機上
您覺得可行嗎?謝謝
(因為線路基本上已經有先用Hinet資安艦隊的IDS先過濾從外對內的攻擊行為了
在防火牆上加掛IDS模組是為了補強Hinet IDS第一道防線的漏網之魚~
以及偵測從內部網路對外的攻擊行為)

u8526425 iT邦大師 1 級 ‧ 2013-04-03 08:50:48 檢舉

出去的流量先做anti-spam
技術上可不可行請問廠商
概念上應該可以, 但我依然不推薦
因為這仍然只是治標
既然花了錢
就盡可能要去治本
從源頭去處理掉
不然你錢都花在治標上面就飽了
(anti-spam還要維護與汰舊費用, 如果功效只是這樣真的很浪費)

我認為
人的問題要先處理
人對了
事才會對
這個人, 可能是你, 可能是廠商
看你如何解讀

hsuehlien iT邦新手 4 級 ‧ 2013-04-03 10:53:41 檢舉

不是很了解您所謂的治本指的是哪方面?
因為目前公司已從內部徹底掃毒和安裝防毒軟體
以及在防火牆上掛載IDS模組後
Exchange主機被列入黑名單的情況
到最近為止已經沒有再發生了

之所以想在Exchange主機前端加設anti spam主機
是為了預防內部帳號被盜而產生大量濫發信件的行為
不過穩定下來後~上述的疑慮發生機會應該比較小
目前看來是沒有anti spam這方面迫切的需要了

還是謝謝您的建議

u8526425 iT邦大師 1 級 ‧ 2013-04-03 14:18:41 檢舉

治本就是找到根源
你沒有去看LOG或報表
先做好原因研判
就去添購各式設備只為阻檔這種異象
就像是治水時去把河給填滿了
一種沒有河就不會發生水患了的意思很像
事實上你也搞不清楚這樣做對不對
到底是好了還是沒好

hsuehlien iT邦新手 4 級 ‧ 2013-04-03 16:27:13 檢舉

造成黑名單的原因
事前有先做好相關的設定
例如關閉Open Relay,Mail DNS的反解等等

當Exchange主機被列入黑名單時
有針對哪個時間點的前後
查詢過相關郵件進出記錄的Log
但是並沒有發現到有那個號有異常往外濫發信件的情況

而中華電信資安艦隊的IDS部分~有在那個時間點
通知說Exchange主機對外的IP位址遭到POP3暴力攻擊記錄
因為中華電信有提到只能做到50%的防禦
所以才會多在防火牆上多加一道IDS的服務

綜合推論因該是密碼原則過於鬆散
以及公司內部電腦原先並沒有做好防毒的機制
(因為我本身也是初來乍到沒多久)
才導致黑名單的結果~之後已針對這部分補強
情況已經獲得改善~目前還沒有黑名單的情形
只是感覺這樣還不太保險~
所以才會請教各位還有哪些地方是可以加強的
非常感謝您的意見

8
IT緣來爐主
iT邦新手 2 級 ‧ 2013-04-03 09:34:25

小弟發表一下個人的淺見,
1.先確定Mail Server被列入黑名單的真正原因
(如:openrelay,mailbox的帳/密被猜到,等等...可能被轉發大量垃圾信的原因)
2.反垃圾郵件設定都設一設
(如:mail server ip DNS反解,spf記錄等等...)
3.確定mail server smtp out的ip是DNS上反解mail server的public ip
(有些對方的mail server或spam設備會設DNS反查,常遇到因經過firewall
nat後的ip不是mail sever的public ip)
4.確定以上問題都解決,向各列入黑名單spam網站申訴
(如果不多的話...呵)
5.若太多,就換個ip <=但先確定該ip沒被列黑名單
(有時spam網站會block整個ip domain)
以上..

hsuehlien iT邦新手 4 級 ‧ 2013-04-03 11:06:38 檢舉

1.open relay的部分確定已經關閉了
帳號密碼是現在最有可能的的部分了
已加強使用者密碼複雜度的要求了
2.不太了解這部分的意思
3.Mail Server IP DNS反解也有做設定了
謝謝您的意見

Exchange還要小心NDR的攻擊,需要將"未傳遞報告"功能拿掉,
遇過因為這個攻擊而導致被列入黑名單!!

10
jackwan
iT邦研究生 4 級 ‧ 2013-04-03 10:38:08

SMTP (Simple Mail Transfer Protocol, SMTP) protocal 顧名思義便是簡單的, 它早已被SPAM 集團破解, SPAM只要假借寄信就可以堂而皇之的突破各種封鎖。 將 Mail server 躲在Anti Spam後面由Anti SPAM server來擋信是目前較為可靠的方式。

mail server被當成跳板寄廣告信與病毒是兩回事,不能將之列為病毒來防預。

hsuehlien iT邦新手 4 級 ‧ 2013-04-03 11:12:36 檢舉

公司目前有升級Hinet資安艦隊的方案
使用Hinet郵件守門員的服務
這就相當於再Exchange主機前端有Anti Spam主機
對收進來的信件做過濾的動作
可是對於從內部往外SMTP的行為
就沒有做過濾的機制
因此無法防範內部帳號被盜往外大量發送信件的行為
而之前Exchange主機被黑名單大部分都是上述原因所造成的
所以才再找預防的機制
感謝您的建議

6
riches88
iT邦研究生 4 級 ‧ 2013-04-04 03:48:59

推薦作法與流程給你參考~
1.既然上了黑名單,退信會有連結,去申請改善與解除先
2.要讓郵件系統先正常,可以先換IP與MX解析順便設定反解
3.找出亂源,通常郵件紀錄中都有可以發現大量發信的來源不管是內外、中毒,密碼被猜中等,因為解決方式不同

上面有些建議,但個人意見如下~
1.架構IPS等,主要是針對網路侵入等行為,如果是密碼猜中,屬正常發送,應該沒有用
2.架構 anti-spam 是外對內,內部寄送垃圾信,通常廠商沒將架構導過去,就從mail走gateway出去,基本上是無效的,就算有通常設了白清單內部IP與smart relay 也對此無效
3.資安艦隊就更不用講啦,基本上是紗窗,沒有任何作用

推薦方式,還是要從mail server 著手~
1.不換IP,可以先合法relay到上層,先將 outbound mail 走其他路徑

2.清查紀錄~確認來源

3.查看現有信件駐列有無異常
4.加強密碼驗證強度、更換週期等管理
5.設定郵件QOS防禦與異常警訊通知
以上標準功能,可以參考瑞鑫資訊 MX MAIL系統

5
rockmansyz
iT邦新手 4 級 ‧ 2013-04-09 15:52:42

riches88提到:
http://www.richesinfo.com.tw

這兩個國外黑名單spam網站 mail server ip黑名單查詢網站
給你參考看看
http://mxtoolbox.com/blacklists.aspx
http://www.dnsbl.info/dnsbl-database-check.php

以前有管理過mail server
強烈建議 主機前端要有Anti Spam 過濾主機

mail server 內部
以前管理的經驗,現在一般都是電腦的user 密碼被猜測到
造成mail account 被relay 然後發大量的垃圾信件
如果有pop3 連線,強烈建議做 ssl 加密的方式連線

當有異常行為發送大量信件時, 建議可以先查詢log
帳號的retry 次數 建議設定 5次,外部建議就只使用webmail 收信
或是有辦法針對帳號做稽核log 當有 異常行為
能夠發信通知管理者.

以上提供你參考:

2
zuyan
iT邦好手 1 級 ‧ 2013-05-05 08:31:19

防火牆先列一條擋連到外部所有IP的25port....

昨天還遇到一個case ..主機寄沒多少郵件..
但是被擋信了....推測又是內部在作怪..

我要發表回答

立即登入回答