iT邦幫忙

2

偽裝Email攻擊,竟然還可以轉發對外攻擊

各位先進好

今日有公司的同仁說在上班收信時,收到一封在半夜自己寄給自己的信,
後來看了一下EMAIL內容,應該就是偽裝Email攻擊,
但這封信還可以使用我同仁的EMAIL再去攻擊其他人(shun15989264744@163.com),
我目前是在exchange2010反垃圾郵件加入這封信件的IP來源,
有其他的方式可以有效的阻止嗎?

寄件人:staff@My_company.com <iditlvn@onuh.com> 代表 staff@My_company.com <shun15989264744@163.com>
收件人:staff@My_company.com

4
雷伊
iT邦好手 1 級 ‧ 2020-07-01 10:25:00

開啟Exchange 管理主控台
組織組態=>集線傳輸=>傳輸規則
新增一個規則名子自己取,例如禁止自己寄給自己

如果寄件者和收件者的AD屬性是評估時=>下一步=>
刪除郵件而不通知任何人=>下一步=>
除郵件來自組織內或組織外的使用者外
規則如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20200701/20117139SpXdpc7Rcx.png

10
raytracy
iT邦大神 1 級 ‧ 2020-07-01 10:41:25

DNS 的 SPF 沒設定 -all 嗎?....
-all 的話, 只有你允許的 IP 才能用你的域名寄信;

不然光靠黑名單擋 IP, 是能擋多少個?
通常攻擊方手上的 IP 可能都有十幾萬個等著替換用...

6
japhenchen
iT邦研究生 1 級 ‧ 2020-07-01 11:10:04

一、DNS伺服器如果不是電信託管的,請一定要設定SPF跟DMARC甚至是DKIM,不然無法杜絕偽造郵件
二、用OPENWEBMAIL,請移除或改用其他網頁郵箱
三、設定好郵箱主機的信件過濾機制,像我們是用LINUX+POSTFIX+DOVECOT自幹,就有加spamassassin+clamAV做垃圾/病毒郵件過濾,當然也要加上SBL/RBL做信評不佳的郵箱主機過濾,免得員工收到一堆垃圾信,夾帶一張釣魚信,你們就吃不完兜著走

我要發表回答

立即登入回答