各位前輩好,前幾天在公司的spam發現公司的帳號遭不明人士盜用,且寄出大量信件至gmail
導致目前企業信箱皆無法成功發信到gmail及購買gmail的相關企業。
而遭盜用已經是第2次了,某些因素的設定上,導致資安層級設定的很低,例如LDAP開啟25 port。(已經調高相關資安設定,防火牆,spam等避免帳號再被盜用)
目前的設定為SPAM -> mail server 設定統一由spam來收發信件。
8/3 感謝各位先進回答,目前的措施是將mail server 25 port關閉,spam設定3次密碼錯誤鎖帳號,使用者的密碼復雜度調整。
2次帳號被盜用,一次是掃描信箱(長年沒更改密碼)、第二次是沒用的公用帳號(也是長年沒更改密碼)
目前也將帳號刪除,並且設定密碼到期日。
現在遇到的問題是被gmail封鎖後,更改對外ip、依照google的建議調整相關設定,經過7天依然無法正常發信到gmail,感覺這次被封的很徹底。
請教大家有沒有過類似的經驗,這次感覺被gmail封鎖的很徹底,
請大家幫幫忙,謝謝。
已邀請的邦友 {{ invite_list.length }}/5
建議你放棄 25 PORT。
只要還開25 PORT。
你就不要想解決這個問題了。
被盜用
應該加強密碼的複雜度
如果第二次還是被鎖
先檢查主機是不是還是一直被當跳板發送不明信件
如果是25PORT也不會發送相關密碼資訊封包
應該先確認是不是主機本身有異常狀況才是
也搞不好本身SPAM本身就被當跳板了
不一定
查看發信紀錄,是哪個IP發信的。
內部IP就是電腦中木馬,外部IP就用防火牆封鎖。
如果可以的話設定只有特定網段可以發信,在外人員要發信用VPN的方式連接
如果你真的只開25,就一定要啟用SMTP帳號登入來做初步防犯
我覺得你遇到的不是盜用帳號發信,而是spoofing mail 假域名郵件,要達到防止spoofing,你們一定要在DNS上設定SPF、DMARC,最好是有DKIM,否則真的無法証明,別人是盜用你們的信箱主機域名發信(誰才是正身)
公司的 EMAIL 系統也有被盜寄郵件的問題 也被黑名單過
耗費大量時間把 DNS反解/SPF/DKIM/DMARC/SMTP TLS/Google網域認證 做起來
能做的都做了
用戶的密碼設太簡單被猜中,或手賤去開啟詐騙釣魚信件自己把密碼告訴別人,要怎麼防?
這些很賤的盜寄者,都會利用下班時後無人守值的時候,大量寄往 @google.com 及 yahoo.com
防不勝防 一周來2次
後來的消極解決方法 "EMAIL SERVER 也會上下班" ,下班時段 SMTP 只收信而不對外轉寄,還真的成功阻止好幾次這種盜寄的行為.
也要找出這些盜寄的 IP 能封多少算多少!
iThome鐵人賽
看影片追技術