iT邦幫忙

0

該如何阻擋偽裝郵件呢??

mmice 2015-11-12 15:04:2516163 瀏覽

請問一下大大們,小弟目前用的是眾至的UR-930
最近常常收到一些偽裝我網域的郵件,我有設定有效郵件設定(exchange server ),是有成功阻擋掉一些非有效帳戶的信件,也就是我網域沒有這個帳號他用這個帳號寄給自己他沒有成功
但是會有一些被對方知道的帳號...例如被他知道我有123@xxx.com.tw的帳號,然後他就會123@xxx.com.tw寄給123@xxx.com.tw
像這類型的要怎麼阻擋呢??感謝。

看更多先前的討論...收起先前的討論...
當 9年前這種事發生的時候,把服務外包給兩家國內TOP 廠商無效之後,轉給 GOOGLE APPS
迎刃而解,垃圾信掉了 99%以上
而且重點是免費,到現在還是免費,但新進的人只能每個帳號每年 USD 50 元
而且會越來越高,我們只能感謝 GOOGLE 而已
給我們 200 個免費帳戶,包括我自己跟還有一堆當時相信我的朋友們
徹底解決這種問題
99% 是什麼概念=> 一天 30~50萬封垃圾信發給我們小小 15個人的小公司
其中有效信 100封 都不到
jason1966 iT邦新手 1 級 ‧ 2015-11-12 16:30:18 檢舉
這種問題...直接問眾至不就好了?
印象中眾至的UTM 沒辦法做到這麼細的控制.
請改用其他較高階的產品
人數不多的話 也可以改用google 或是 O365 之類的產品
google 是還不錯啦 只是當遇到障礙排除的時候...有時候要自求多福
當然這種機會不多 只是遇到就會有點麻煩
眾至的UTM 9年前來 DEMO 要價 30萬的 UTM ,十分鐘就掛點了
然後她說我們的郵件量過於龐大,他們檔不了,請我們找別的廠商
當時UTM 我找了五家來TRY,沒有一家扛的下來的
業務都說OK,但測試完,業務跟工程師臉都黑掉了,鼻子摸摸把設備扛回家
也不敢說他們的設備有多好
fillano iT邦超人 1 級 ‧ 2015-11-12 20:29:25 檢舉
如果是貴公司帳號寄來的信,發信的伺服器應該是有限的吧?
CalvinKuo iT邦大師 7 級 ‧ 2015-11-12 21:49:02 檢舉
版大有沒聽過 SPF Record...
https://support.google.com/a/answer/33786?hl=zh-Hant

SPF 紀錄的用途是防止垃圾郵件製造者偽造您網域的「寄件者」地址,來傳送郵件。收件者可以參考 SPF 紀錄,判斷聲稱來自您網域的郵件是否真的由授權的郵件伺服器所傳送。


https://support.google.com/a/answer/4568483?hl=zh-Hant&ref_topic=2759192

v=spf1 ip4:83.206.106.17 include:_spf.google.com ~all

RAY 大回應的比較專業,我這邊當作補充參考
1. 先確認對方是不是用你的SMTP 發出的信件
A: 關閉 SMTP 匿名存取
B: 關閉 郵件轉發功能

2. DNS 設定 SPF 記錄,讓網域只允許授權的 SMTP 發送信件
目前網路上的做法就是這兩個而已
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

8
Ray
iT邦大神 1 級 ‧ 2015-11-13 09:54:00
最佳解答

任何人想要寄給「網域內已存在的有效帳戶」, 不需要任何密碼就可以寄入, 這是 SMTP RFC-821 的標準機制, 如果你把這個機制設了密碼的話, 那代表全世界的 Mail Server 想要寄進你們網域內的帳號, 都需要你們事先提供密碼, 這顯然是不合理的.

垃圾郵件利用這個漏洞, 只要知道你們的有效帳號, 就一定可以寄得進去, 要防堵這種信件, 只有以下幾種作法:

  1. 設定你們的 DNS SPF, 限定可以用你的網域寄信的 IP, 且後面的 Qualifiers 設定為更嚴格的 "-all", 不要用一般常用較鬆散的 "~all", 具體作法請參考:
    防止我公司的 MAIL 不會被設定為 垃圾郵件(SPAM)
    Sender Policy Framework (SPF)

這個原理是: Mail Server 在收件時, 會先檢查 SPF 上面宣稱的來源, 是否與發信者相符? 例如: SPF 上面宣告: 允許 abc.com.tw 網域寄信的 IP 是: 1.2.3.4, 那麼當寄件者不是從 1.2.3.4 發出寄件人是 123@abc.com.tw 的信件時, 就會自動被阻擋掉.

但前提是: 你們家的 UTM/Mail Server 也要認得 SPF 的設定才行, 否則他不會做這種檢查. Exchange Server 至少從 2007 版以後應該可以支援, 但你們用的 UTM 我就不知道了.

  1. 使用較嚴格的 Content Filter 來過濾寄入信件. 如果不從來源下手的話, 就要直接檢查信件的內容, 判斷是否為垃圾郵件? 當然這樣做的風險比較高, 容易誤擋正常的郵件.

所以建議不要讓 UTM 做, 除非你的 UTM 有「隔離」垃圾信, 而且事後可以人工「放行」的機制, 讓使用者可以把誤判的信件從垃圾堆裡再撈回來.

Exchange Server 2007 版以後, 如果啟動自己的 Anti-spam 功能的話, 可以做到 Content Filtering, 預設的檢查強度是 7, 你可以往下降到 6 試試看, 若檔不住就再往下調.

用 Exchange 做 Content Filter 的好處是:
他會把垃圾郵件隔離在「垃圾郵件」資料夾內, 用 Outlook 就可以直接看到, 萬一誤判的話, 使用者不需要任何協助, 自己就可以去垃圾堆裏面找回來. 此外, 使用者也可以透過 Outlook 裡面的「白名單」機制, 把誤判的郵件重新設為白名單, 這個設定會被派回 Exchange 上面執行, 下次就不會誤判, 也不需要管理者介入去調整白名單.

在我的經驗裡, Exchange 2010 的 Content Filter 調到 6 的時候, 已經可以擋掉大部分來自中國的垃圾郵件, 每天可能只有不到 1 封信會漏判. 不過, 也有 5% 左右的機會誤判正常的信件 (如果寄信來的郵件伺服器管理員, 沒有依照正確的方法設定相關參數的話, 被擋下來的機率很高).

0
billtu
iT邦新手 4 級 ‧ 2015-11-13 09:13:28

最簡單方式,就是設定要透過 SMTP 寄出信件時,會進行帳號密碼檢查。當寄件人包含貴公司網址時,SMTP 伺服器會要求檢查帳號密碼,如果無法通過,就會被擋下。
至於所使用設備是否撐得住這樣流量,或者是是否能承受如你所說的數量的攻擊,這我就不知道了。另外,建議注意猜密碼的問題。

billtu iT邦新手 4 級 ‧ 2015-11-17 15:52:53 檢舉

郵件軟體帳號中例如 outlook,有一個設定選項 "我的外寄郵件伺服器需要驗證" 這選項需要主機端,與連接端同時設定。個人經驗設定此選項之後,沒有看過以我的網址偽裝寄件人寄給我自己的郵件。

提到關於 SPF,我不知道我所理解的 SPF 是否正確。也許可以提供參考,通常 SPF 中會記錄郵件主機IP,當 aaa.aa 郵件主機連線到 bbb.bb 郵件主機,要求要傳送一封 111@aaa.aa 要寄給 333@bbb.bb 的郵件,這時候 bbb.bb 的郵件主機會嘗試查詢 aaa.aa 網址的 SPF 資料,並解出其中的 aaa.aa 主機的 IP,然後,與現在連線的 IP 比對,如果符合,表示 SPF 測試 PASS,如果不符合表示有可能為偽冒郵件。SPF 主要是驗證對方主機的有效與真實性,是不是適合拿來驗證連接端對主機之間的傳輸,我不知道。另外我只敢把 SPF 當作阻擋寄送的參考條件之一。

我要發表回答

立即登入回答