偽裝Email攻擊，竟然還可以轉發對外攻擊

偽裝email exchange2010

santanalee 2020-07-01 10:16:38 ‧ 2815 瀏覽

分享至

各位先進好

今日有公司的同仁說在上班收信時，收到一封在半夜自己寄給自己的信，
後來看了一下EMAIL內容，應該就是偽裝Email攻擊，
但這封信還可以使用我同仁的EMAIL再去攻擊其他人(shun15989264744@163.com)，
我目前是在exchange2010反垃圾郵件加入這封信件的IP來源，
有其他的方式可以有效的阻止嗎?

寄件人:staff@My_company.com <iditlvn@onuh.com> 代表 staff@My_company.com <shun15989264744@163.com>
收件人:staff@My_company.com

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

雷伊

iT邦高手 1 級 ‧ 2020-07-01 10:25:00

開啟Exchange 管理主控台
組織組態=>集線傳輸=>傳輸規則
新增一個規則名子自己取，例如禁止自己寄給自己

如果寄件者和收件者的AD屬性是評估時=>下一步=>
刪除郵件而不通知任何人=>下一步=>
除郵件來自組織內或組織外的使用者外
規則如下圖所示：

回應
分享
檢舉

登入發表回應

Ray

iT邦大神 1 級 ‧ 2020-07-01 10:41:25

DNS 的 SPF 沒設定 -all 嗎?....
-all 的話, 只有你允許的 IP 才能用你的域名寄信;

不然光靠黑名單擋 IP, 是能擋多少個?
通常攻擊方手上的 IP 可能都有十幾萬個等著替換用...

回應
分享
檢舉

登入發表回應

japhenchen

iT邦超人 1 級 ‧ 2020-07-01 11:10:04

一、DNS伺服器如果不是電信託管的，請一定要設定SPF跟DMARC甚至是DKIM，不然無法杜絕偽造郵件
二、用OPENWEBMAIL，請移除或改用其他網頁郵箱
三、設定好郵箱主機的信件過濾機制，像我們是用LINUX+POSTFIX+DOVECOT自幹，就有加spamassassin+clamAV做垃圾/病毒郵件過濾，當然也要加上SBL/RBL做信評不佳的郵箱主機過濾，免得員工收到一堆垃圾信，夾帶一張釣魚信，你們就吃不完兜著走